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内 容 简 介 


本 书 详细 介绍 在 组 建 局 域 网 中 涉及 的 多 项 安全 技术 ,包括 路 由 网 安全 技术 交换 网 安全 技术 和 无 线 
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络 安全 问题 的 技术 参考 用 书 。 
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出 版 癌 明 一 


21 世纪 是 信息 时 代 ,信息 已 成 为 社会 发 展 的 重要 战略 资源 ,社会 的 信息 
化 已 成 为 当今 世界 发 展 的 潮流 和 核心 ,而 信息 安全 在 信息 社会 中 将 扮演 极为 
重要 的 角色 , 它 会 直接 关系 到 国家 安全 、 企 业经 营 和 人 们 的 日 常生 活 。 随 着 
信息 安全 产业 的 快速 发 展 ,全 球 对 信息 安全 人 才 的 需求 量 不 断 增 加 ,但 我 国 
目前 信息 安全 人 才 极 度 匮 乏 , 远 远 不 能 满足 金融 ,商业 .公安 .军事 和 政府 等 
部 门 的 需求 。 要 解决 供需 矛盾 ,必须 加 快 信息 安全 人 才 的 培养 ,以 满足 社会 
对 信息 安全 人 才 的 需求 。 为 此 ,教育 部 继 2001 年 批准 在 武汉 大 学 开设 信息 
安全 本 科 专 业 之 后 ,又 批准 了 多 所 高 等 院 校 设立 信息 安全 本 科 专 业 , 而 且 许 
多 高 校 和 科研 院 所 已 设立 了 信息 安全 方向 的 具有 硕士 和 博士 学 位 授予 权 的 
学 科 点 。 

信息 安全 是 计算 机 、 通 信 、 物 理 、 数 学 等 领域 的 交叉 学 科 , 对 于 这 一 新 兴 
学 科 的 培养 模式 和 课程 设置 ,各 高 校 普遍 缺乏 经 验 , 因 此 中 国 计 算 机 学 会 教 
育 专 业 委 员 会 和 清华 大 学 出 版 社 联合 主办 了 “信息 安全 专业 教育 教学 研讨 
会 "等 一 系列 研讨 活动 ,并 成 立 了 “高 等 院 校 信息 安全 专业 系列 教材 "编审 委 
员 会 ,由 我 国信 息 安全 领域 著名 专家 肖 国 镇 教授 担任 编 委 会 主任 ,共同 指导 
“高 等 院 校 信息 安全 专业 系列 教材 "的 编写 工作 。 编 委 会 本 着 研究 先行 的 指 
导 原 则 ,认真 研讨 国内 外 高 等 院 校 信息 安全 专业 的 教学 体系 和 课程 设置 , 进 
行 了 大 量 前 瞻 性 的 研究 工作 ,而 且 这 种 研究 工作 将 随 着 我 国信 息 安 全 专业 的 
发 展 不 断 深入 。 经 过 编 委 会 全 体委 员 及 相关 专家 的 推荐 和 审定 ,确定 了 本 从 
书 首 批 教材 的 作者 ,这 些 作 者 绝 大 多 数 都 是 既 在 本 专业 领域 有 深厚 的 学 术 造 
训 、 又 在 教学 第 一 线 有 丰富 的 教学 经 验 的 学 者 专家。 

本 系列 教材 是 我 国 第 一 套 专门 针对 信息 安全 专业 的 教材 ,其 特点 如 下 : 

D 体系 完整 .结构 合理 内容 先进 。 

@ 适应 面 广 : 能 够 满足 信息 安全 、 计 算 机 、 通 信 工 程 等 相关 专业 对 信息 
安全 领域 课程 的 教材 要 求 。 

O 立体 配套 : 除 主教 材 外 ,还 配 有 多 媒体 电子 教案 ,习题 与 实验 指导 等 。 

CD. 版 本 更 新 及 时 , 紧 跟 科学 技术 的 新 发 展 。 

为 了 保证 出 版 质量 ,我 们 坚持 宁 缺 考 滥 的 原则 ,成 熟 一 本 ,出 版 一 本 ,并 
保持 不 断 更 新 ,力求 将 我 国信 息 安全 领域 教育 .科研 的 最 新 成 果 和 成 熟 经 验 
反映 到 教材 中 来 。 在 全 力 做 好 本 版 教材 ,满足 学 生 用 书 的 基础 上 ,还 经 由 专 
家 的 推荐 和 审定 , 遵 选 了 一 批 国外 信息 安全 领域 优秀 的 教材 加 入 到 本 系列 教 
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材 中 ,以 进一步 满足 大 家 对 外 版 书 的 需求 。 热 切 期 望 广大 教师 和 科研 工作 者 加 入 我 们 的 
队伍 ,同时 也 欢迎 广大 读者 对 本 系列 教材 提出 宝贵 意见 ,以 便 我 们 对 本 系列 教材 的 组 织 、 
编写 与 出 版 工作 不 断 改 进 , 为 我 国信 息 安全 专业 的 教材 建设 与 人 才 培 养 做 出 更 大 的 贡献 。 

“高 等 院 校 信息 安全 专业 系列 教材 "已 于 2006 年 初 正式 列 人 普通 高 等 教育 “十 一 五 
国家 级 教材 规划 ( 见 教 高 [2006]9 号 文件 (教育 部 关于 印发 普通 高 等 教育 “十 一 五 ”国家 级 
教材 规划 选 题 的 通知 》)) 。 我 们 会 严 把 出 版 环节 ,保证 规划 教材 的 编校 和 印刷 质量 ,按时 完 
成 出 版 任务 。 

2007 年 6 月 ,教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 成 立 大 会 暨 第 一 次 会 
议 在 北京 胜利 召开 。 本 次 会 议 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 主任 单 
位 北京 工业 大 学 和 北京 电子 科技 学 院 主 办 .清华 大 学 出 版 社 协办 。 教 育 部 高 等 学 校 信息 
安全 类 专业 教学 指导 委员 会 的 成 立 对 我 国信 息 安全 专业 的 发 展 将 起 到 重要 的 指导 和 推动 
作用 .“ 高 等 院 校 信息 安全 专业 系列 教材 "将 在 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 
委员 会 的 组 织 和 指导 下 ,进一步 体现 科学 性 ,系统 性 和 新 颖 性 ,及 时 反映 教学 改革 和 课程 
建设 的 新 成 果 ,并 随 着 我 国信 息 安全 学 科 的 发 展 不 断 修 订 和 完善 。 

我 们 的 E-mail 地 址 是 : zhangm@tup. tsinghua. edu. cn; KAA; IKE. 


清华 大 学 出 版 社 
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随 着 21 世纪 的 到 来 ,人 类 已 步 和 人 信息 社会 ,信息 产业 正成 为 全 球 经 济 发 
展 的 主导 产业 。 计 算 机 科学 与 技术 在 信息 产业 中 占据 了 重要 的 地 位 , 随 着 互 
联网 技术 的 普及 和 推广 ,网 络 技术 更 是 信息 社会 发 展 的 推动 力 , 人 们 日 常 学 
习 、 生 活 和 工作 都 越 来 越 依赖 于 网 络 , 因 此 关于 信息 技术 、 信 息 安 全 技术 、 网 
络 安全 技术 正 发 展 成 为 越 来 越 重 要 的 学 科 。 

互联 网 技术 的 发 展 改变 了 我 们 的 生活 ,今天 信息 安全 内 涵 已 发 生 了 根本 
变化 。 安 全 已 从 一 般 性 的 安全 防卫 , 变 成 了 一 种 非常 普通 的 安全 防范 ;从 一 
种 研究 型 的 安全 学 科 , 变 成 了 无 处 不 在 ,影响 人 们 学 习 、 生 活 和 工作 息息相关 
的 安全 技术 。 技 术 的 普及 也 推动 了 社会 对 人 才 的 需求 ,因此 建立 起 一 套 完整 
的 网 络 安全 课程 教学 体系 ,提供 体系 化 的 安全 专业 人 才 培 养 计划 ,培养 一 批 
精通 安全 技术 的 专业 人 才 队 伍 , 对 目前 高 校 计算 机 网 络 安全 方向 专业 人 才 培 
养 , 显 得 尤为 重要 。 


1. 关于 教材 开发 的 背景 

结合 国家 “十 二 五 "本科 计 算 机 专业 课程 规划 体系 ,以 及 深入 领会 教育 部 
计算 机 科学 与 技术 教学 指导 委员 会 编制 的 (计算 机 科学 与 技术 专业 规范 的 知 
识 体系 和 课程 大 纲 ) 文 件 精神 ,为 及 时 反映 目前 网 络 安全 专业 学 科 发 展 动态 ， 
创新 教材 编辑 委员 会 组 织 编写 了 本 书 。 和 希望 编撰 的 网 络 安全 知识 内 容 , 既 重 
视 理 论 .方法 和 标准 的 介绍 ,又 兼顾 技术 .系统 和 应 用 分 析 , 在 内 容 结构 和 知 
识 点 布局 上 还 有 所 创新 。 

此 外 , 随 着 互联 网 技术 的 普及 和 推广 ,日 常 学 习 和 工作 依赖 于 网 络 的 比 
重 增加 ,计算 机 网 络 安 全 的 实施 和 防范 技术 ,成 为 目前 最 为 瞩目 的 学 习 内 容 。 
根据 上 述 思 路 .创新 网 络 教 材 编辑 委员 会 选择 网 络 安 全 技术 在 生活 中 具体 应 
用 作为 教材 开发 主线 ,规划 出 面向 实际 工程 案例 ,可 操作 、 可 应 用 、 可 实施 的 
网 络 安全 技术 教程 。 希望 规 划 的 安全 技术 直观 .形象 .具体 、 可 实施 ,选编 和 
规划 的 安全 知识 具有 专业 化 、 体 系 化 、 全 面 化 特征 ,能 体现 和 代表 当前 最 新 的 
网 络 安全 技术 发 展 方向 。 


2. 关于 教材 开发 的 指导 思想 

通过 调查 目前 市 场 发 现 ,指导 计算 机 网 络 安全 实践 教学 内 容 的 教材 非常 
缺乏 。 翻 阅 市 场 上 现存 ,数量 有 限 的 安全 类 教材 ,这 些 教材 品种 都 偏重 于 网 
络 安全 理论 诠释 .而 针对 实际 网 络 安全 工程 实施 、 可 在 课堂 中 动手 实施 的 安 
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全 类 教材 甚 少 。 正 是 基于 此 ,创新 网 络 教材 编辑 委员 会 组 织 国内 院 校 一 线 教 师 , 联 合 来 自 
厂商 专业 工程 师 开 发 了 这 本 覆盖 基础 网 络 安全 技术 的 专业 教程 ,希望 着 重 培 养 学 生 对 网 
络 基 础 安全 技术 的 兴趣 。 

和 同类 以 网 络 安全 技术 为 研究 方向 的 专业 书籍 相 比 ,本 书 更 注重 实际 安全 问题 的 解 
决 。 全 书 以 安全 技术 应 用 为 主线 ,以 培养 学 生 安全 问题 解决 能 力 为 目标 ,以 加 强 实际 安全 
应 用 和 技能 锻炼 为 根本 ,满足 学 校 安全 类 课程 实验 教学 需要 。 因 此 ,全 书 在 开发 过 程 中 ， 
强化 实践 教学 能 力 的 培养 ,着 重 讲授 生活 中 的 网 络 安全 问题 ,诠释 安全 策略 配置 ,最 后 依 
据 学 校 提 供 的 安全 实践 教学 平台 ,直观 、 形 象 地 解释 安全 技术 ,帮助 学 生理 解 抽 象 的 网 络 
安全 专业 理论 。 


3. 关于 教材 开发 的 内 容 

本 书 是 针对 高 等 院 校 计算 机 ,通信 工程 等 相关 专业 ,在 学 习 基 础 网 络 安全 理论 时 , 配 
套 开发 的 网 络 安全 实验 教程 。 全 书 详细 地 介绍 了 组 建 局 域 网 安全 过 程 中 使 用 到 的 多 项 安 
全 产品 及 其 相关 技术 ,涉及 了 路 由 交换 无线 局 域 网 等 多 个 网 络 安全 实验 ,以 弥补 课堂 理 
论 学 习 中 实践 教学 的 不 足 。 

本 书 按照 局 域 网 组 建 过 程 中 应 用 到 的 安全 产品 的 类 型 ,详细 介绍 组 网 过 程 中 使 用 到 
的 安全 产品 , 遇 到 的 安全 问题 ,选择 的 安全 技术 ,包括 路 由 安全 .设备 安全 、 访 问 控制 安全 、 
端口 安全 、 接 和 人 安全、 无 线 局 域 网 安全 等 实验 操作 及 实施 过 程 。 全 书 对 这 些 安全 产品 的 基 
本 配置 .基本 界面 功能 配置 都 给 予 详细 讲解 ,来 帮助 读者 深入 了 解 网 络 安全 项 目的 设计 
与 实施 。 通 过 对 全 部 内 容 的 学 习 , 帮 助 读者 更 牢固 地 掌握 安全 技术 ,实施 方法 。 

全 书包 括 了 近 四 十 多 个 难度 不 同 的 网 络 安全 实验 内 容 , 适 合 学 生 循 序 渐进 地 学 习 。 
可 作为 高 等 院 校 计算 机 、 通 信 工 程 等 相关 专业 本 科 生 和 研究 生计 算 机 网 络 工程 课程 的 实 
验 教材 。 全 书 的 实验 设计 和 安排 ,以 实际 工程 项 目的 需求 为 依据 , 旨 在 加 深 学 生 对 网 络 安 
全 工程 所 涉及 的 基础 理论 知识 的 理解 ,提高 学 生 网 络 安全 工程 相关 的 动手 实践 能 力 、 分 析 
问题 和 解决 问题 的 能 力 。 


4. 关于 教材 使 用 的 方法 

通过 全 书 提供 的 近 三 十 多 个 安全 实验 的 训练 ,能 够 帮助 学 生 熟 练 掌握 网 络 安全 工程 
师 所 需要 的 基本 实践 技能 。 所 有 实验 操作 都 以 日 常安 全 需求 为 主线 串 接 知识 ,以 问题 解 
决 过 程 作为 核心 ,因此 教师 在 使 用 本 书 时 ,可 以 作为 相关 安全 理论 学 习 完成 之 后 的 实验 补 
3E ,帮助 学 生 加 强 对 抽象 安全 理论 的 直观 理解 。 也 可 以 根据 教学 的 实际 情况 ,从 中 选择 部 
分 实验 教学 内 容 , 要 求学 生 在 学 完 理论 之 后 ,完成 适当 数量 和 难度 的 实验 以 补充 理论 诠释 
知识 的 不 足 。 由 于 书 中 全 部 内 容 都 来 自 实际 工程 案例 的 总 结 , 本 书 还 可 作为 就 业 前 实习 
HB ,通过 对 一 定数 量 的 安全 工程 案例 学 习 , 积 累 实际 的 安全 施工 经 验 , 以 增强 安全 类 工 
程 施工 的 能 力 和 故障 排除 的 能 力 。 


5. 关于 课程 的 环境 安排 

本 书 覆 盖 计 算 机 网 络 安全 规划 、 组 建 和 配置 中 涉及 到 的 主流 安全 设备 配置 ,管理 技 
术 , 书 中 所 有 项 目 都 来 自 于 多 年 积累 的 企业 工程 案例 。 经 过 提炼 ,按照 再 现 企业 工程 项 目 
的 组 织 方式 进行 串 接 ,每 个 工程 项 目 都 详细 介绍 了 工程 名 称 、 工 程 背 景 . 技 术 原 理 、 工 程 设 
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备 . 工 程 拓扑 ` 工 程 规划 .工作 过 程 和 结果 验证 等 多 个 环节 ,循序 渐进 地 展现 企业 工程 项 目 
施工 过 程 ,并 把 这 些 工程 在 网 络 实验 室 中 搭建 出 来 ,积累 工作 中 的 施工 经 验 。 

为 顺利 实施 本 教程 , 除 需要 对 网 络 技术 有 学 习 的 热情 之 外 ,还 需要 具备 基本 的 计算 
机 、 网 络 、 安 全 基础 知识 。 这 些 基 础 知识 为 学 习 者 提供 一 个 良好 的 基础 ,帮助 理解 本 书 中 
的 技术 原理 ,为 网 络 技 术 的 进 阶 提供 良好 帮助 。 为 很 好 地 实施 这 些 安全 实验 ,还 需要 为 本 
课程 提供 一 个 可 实施 交换 、 路 由 、 无 线 和 安全 实验 的 网 络 环境 ,再 现 企 业 网 络 工程 项 目 。 
这 种 课程 工作 环境 包括 :一 个 可 以 容纳 40 人 左右 的 网 络 实验 室 , 不 少 于 4 组 实验 台 。 
组 实验 台中 包括 的 组 网 实验 设备 有 二 层 交 换 机 、 三 层 交 换 机 、 模 块 化 路 由 器 、 无 线 局 域 网 
接 入 设备 、 无 线 网 卡 、 网 络 防火 墙 、 测 试 计算 机 和 若干 根 网 络 连接 线 ( 或 制作 工具 )。 

虽然 本 书 选择 的 工程 项 目 来 自 厂商 案例 ,使 用 的 网 络 实验 设备 也 是 来 自 厂商 ,但 本 课 
程 在 规划 中 ,力求 全 部 的 知识 诠释 和 技术 选择 都 具有 通用 性 ,遵循 行业 内 通用 技术 标准 和 
行业 规范 。 全 书 中 关于 设备 的 功能 描述 、 接 口 标准 ,技术 诠释 ,协议 细节 分 析 、 命 令 语 法 解 
释 、 命 令 格式 .操作 规程 图标 和 拓扑 图 形 的 绘制 方法 等 ,都 使 用 行业 内 的 标准 ,以 加 强 其 
通用 性 。 

6. 关于 课程 的 时 间 安 排 

本 书 希 望 通过 加 强 学 生 对 网 络 设备 的 实践 操作 ,积累 网 络 工 程 一 线 施 工 经 验 , 让 学 生 
深入 理解 网 络 安 全 设备 的 配置 和 运行 机 制 , 熟 悉 网 络 安全 项 目 发 生 的 场景 ,掌握 施工 过 
程 。 此 外 ,借助 网 络 安 全 实验 平台 ,还 可 以 学 习 网 络 安 全 设计 、 网 络 攻 防 和 故障 性 能 分 析 
等 相关 知识 ,加 强 学 生 对 网 络 安全 技术 的 理解 和 掌握 ,培养 学 生 的 动手 实践 和 设计 分 析 能 
力 , 培 养 创新 型 人 才 。 

本 书 可 作为 高 等 院 校 计 算 机 科学 与 技术 .通信 工程 .计算 机 网 络 等 相关 专业 本 科 生 或 
研究 生 学 习 、 研 究 网 络 安全 技术 的 实验 教材 。 其 前 导 性 的 课程 包括 计算 机 网 络 局域网 组 
建 .路 由 和 交换 技术 等 基础 性 网 络 技术 。 本 课程 的 安排 时 间 在 36 一 72 学 时 不 等 ,根据 学 
校 具体 教学 计划 安排 来 确定 ,可 选择 全 部 的 内 容 作为 实验 对 象 , 也 可 选择 部 分 内 容 。 课 程 
时 间 一 般 安 排 在 三 年 级 学 期 段 ,学 生 在 学 完 基础 网 络 技术 后 ,作为 基础 网 络 技术 的 提高 和 
补充 。 此 外 ,本 书 还 可 以 作为 社会 上 培训 机 构 网 络 安全 专业 认证 的 培训 教材 ,以 及 网 络 工 
程 师 、 系 统 集成 工程 师 和 其 他 专业 技术 人 员 用 于 解决 在 实际 工作 中 遇 到 的 网 络 安全 问题 
的 技术 参考 用 书 。 


7. 关于 课程 资源 
不 同 的 专业 课程 教学 都 具有 其 本 身 的 针对 性 。 强 化 安全 技术 专业 实践 能 力 、 强 化 安 
全 技术 应 用 和 安全 技能 素养 的 培养 ,是 本 课程 区 别 于 传统 网 络 安全 专业 课程 特色 之 一 。 
即使 在 目前 众多 以 技能 为 教学 的 实验 课程 中 ,本 课程 也 具有 其 他 课程 不 能 比拟 的 个 性 。 
无 论 是 前 期 为 保证 课程 的 有 效 实施 ,方便 学 校 的 管理 ,在 课程 实施 环境 (网 络 实验 室 ) 上 投 
入 资金 ,还 是 在 课程 规划 思想 上 的 创新 、 实 验 手 段 的 多 样 性 上 ,本 课程 研发 上 投入 的 人 力 
都 具有 绝对 优势 。 
特别 为 有 效 保证 课程 实验 的 有 效 实施 ,保证 课程 教学 资源 的 长 期 提供 :安全 案例 的 积 
累 、 最 新 安全 技术 的 更 新 、 新 技术 的 学 习 、 课 程 学 习 中 的 技术 交流 和 讨论 等 。 为 此 ,本 课程 
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的 研发 队伍 还 专门 投入 人 力 和 物力 ,为 本 课程 建设 有 专门 的 实践 教学 俱乐部 资源 共享 基 
地 ,以 有 效 支 持 课程 在 实施 的 过 程 中 资源 的 更 新 ,疑难 问题 的 解决 ,课程 实施 讨论 等 一 系 
列 支 持 和 服务 工作 。 详 细 内 容 可 以 访问 和 本 课程 实施 配套 的 网 站 http://www. labclub. 
com. cn, 可 以 获得 更 多 的 资源 支持 。 


8. 关于 课程 开发 队伍 

本 书 由 创新 网 络 教 材 编辑 委员 会 组 织 来 自 院 系 教学 一 线 的 专家 ,教师 ,联合 来 自 厂商 
专业 工程 师 队 伍 协作 编写 完成 。 这 些 工 作 在 各 行业 内 的 专家 ,把 自己 多 年 来 在 各 自 领域 
中 积累 网 络 安全 技术 及 工作 经 验 , 以 及 对 网 络 安全 技术 的 深刻 理解 ,诠释 成 本 书 的 经 验 

本 书 第 一 作者 王 继 龙 博 士 ,毕业 于 清华 大 学 计算 机 系 ,长 期 在 清华 大 学 信息 网 络 工程 
研究 中 心 从 事 大 规模 互联 网 的 规划 、 建 设 、 运 行 和 研究 工作 ,历任 研发 部 主任 、 清 华 大 学 校 
园 网 运行 中 心 主任 .第 二 代 中 国教 育 和 科研 计算 机 网 (CERNET2) 运 行 中 心 主任 ,第 二 代 
跨 欧 亚 信息 网 ITEIN2) 运 行 中 心 主任 等 职位 。 其 在 网 络 安全 领域 的 技术 积累 ,以 及 多 年 
在 组 建 局 域 网 络 安全 体系 ,维护 局 域 网 安全 的 宝贵 经 验 ,为 全 书 规划 了 安全 实验 大 纲 , 提 
供 了 技术 方向 引导 ,形成 全 书 安全 知识 体系 ,并 承担 了 部 分 安全 实验 编写 任务 。 

本 书 第 二 作者 安 淑 梅 女士 毕业 于 东北 大 学 ,CCIE(# 117200 ,高 级 工程 师 , 熟 悉 思科 
网 络 、 华 为 网 络 和 锐 捷 网 络 产品 和 方案 ,拥有 多 家 厂商 的 工作 经 历 , 熟 悉 面 对 不 同 的 厂商 
安全 设备 ,针对 应 用 和 实施 网 络 安全 防范 能 力 。 她 多 年 在 网 络 一 线 从 事 售 前 工程 师 ,培训 
讲师 的 工作 背景 ,参与 过 多 个 网 络 工程 整 网 安全 的 规划 、 实 施 经 历 ,对 全 书 安全 问题 需求 ， 
再 现 企业 安全 工程 实验 的 体例 和 样式 ,起 到 结构 形成 作用 ,并 承担 了 部 分 实验 编写 任务 。 

邵 丹 女士 毕业 于 吉林 大 学 , 现 为 长 春 大 学 计算 机 科学 技术 学 院 副 教授 ,学 院 主 管教 学 
主任 ,主攻 网 络 集成 和 局 域 网 安全 ,有 多 年 丰富 的 教学 经 验 , 对 全 书 按照 教材 风格 形成 方 
便 学 生 学 习 方便 课堂 教学 .在 实验 室 中 有 效 实 施 , 以 及 从 一 线 教 师 实施 角度 ,提供 了 全 书 
文字 内 容 形 式 和 语言 风格 编辑 工作 ,承担 了 部 分 实验 编写 任务 。 
王 继 龙 负责 全 书 项 目 立 项 工作 ,承担 了 全 书 关于 局 域 网 安全 体系 规划 以 及 访问 控制 
安全 和 网 络 接 人 安全 章节 的 编写 工作 。 安 淑 梅 女士 负责 了 全 书 案例 整理 和 无 线 局 域 网 安 
全 章节 编写 任务 。 邵 丹 女 士 承担 了 端口 安全 和 生成 树 安全 章节 编写 任务 。 此 外 ,在 本 书 
的 编写 过 程 中 ,还 得 到 了 其 他 一 线 教 师 .技术 工程 师 . 产 品 经 理 汪 双 顶 、 李 文 宇 方 洋 、 张 选 
波 、 高 峡 , 杨 靖 、 张 勇 . 蔡 革 等 大 力 支 持 。 他 们 积累 多 年 的 来 自 教学 和 工程 一 线 的 工作 经 
验 ,都 为 本 书 的 真实 性 .专业 性 以 及 方便 在 学 校 教学 .方便 实施 给 予 了 有 力 的 支持 。 

本 书 规划 编辑 的 过 程 历 经 近 三 年 多 的 时 间 ,前 后 经 过 多 轮 的 修订 ,牵涉 到 很 多 的 人 
力 支 持 , 其 改革 力度 较 大 , 远 远 超过 前 期 策划 的 估计 ,加 之 课程 组 文字 水 平 有 限 ,错漏 之 处 
在 所 难免 , 敬 请 广大 读者 指正 labserv@ruijie. com. cn. 


创新 网 络 教 材 编 委 会 
2009 年 4 月 


使 用 说 明 一 


为 帮助 学 生 全 面 理解 安全 技术 细节 ,建立 直观 的 网 络 安 全 印象 ,本 书 每 
-个 实验 开始 时 ,都 为 读者 引入 一 个 来 自 企 业 真 实 网 络 的 安全 问题 ,建立 教 
学 .学习 环境 ,让 读者 深入 到 网 络 安全 的 场景 环境 中 ,了 解 本 节 安 全 知识 内 
容 , 了 解 对 应 施工 中 需要 的 技术 。 

在 全 书 关键 技术 解释 和 工程 方案 实施 中 ,会 涉及 到 一 些 网 络 专业 术语 和 
词汇 ,为 方便 大 家 今后 在 工作 中 的 应 用 ,全 书 采用 业界 标准 的 技术 和 图 形 绘 
制 方案 。 全 书 中 使 用 的 关于 相关 的 符号 以 及 网 络 拓扑 图 形 惯 有 的 风格 和 惯 
例 , 本 书 中 使 用 的 命令 语法 规范 约定 如 下 。 

t 坚 线 “| 表示 分 隔 符 , 用 于 分 开 可 选择 的 选项 。 

。 星 号 ” * "表示 可 以 同时 选择 多 个 选项 。 

* HEFL ]” 表 示 可 选项 。 

。 KEG )” 表 示 必 选项 。 

* 粗 体 字 表 示 按 照 显 示 的 文字 输入 的 命令 和 关键 字 。 在 配置 的 示例 和 
输出 中 , 粗 体 字 表示 需要 用 户 手工 输入 的 命令 (如 show 命令 ) 。 
斜体 字 表 示 需 要 用 户 输入 的 具体 值 。 

以 下 为 本 书 中 所 使 用 的 图 标示 例 : 
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接 入 交换 机 固化 汇聚 模块 化 汇聚 ”核心 交换 机 - 层 堆栈 三 层 堆栈 
交换 机 交换 机 交换 机 交换 机 


中 低 端 路 由 器 。 高 端 路 由 器 。 Voice 多 业务 SOHO 多 业务 IPv6 多 业务 服务 器 
路 由 器 路 由 器 路 由 器 


使 用 说 明 m 


OQ Q es 9 Q 


单 路 AP 双 路 AP 无 线 网 卡 1 无 线 网 卡 2 无 线 网 桥 无 线 交 换 机 
t ERIGA 
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感谢 国内 网 络 产品 和 方案 提供 者 锐 捷 网 络 有 限 公 司 ,为 全 书 提供 多 个 来 自 不 同行 业 
的 工程 案例 。 为 方便 对 工程 项 目的 技术 细节 诠释 ,本 书 技术 描述 主要 依托 锐 捷 网 络 操作 
系统 展开 。 但 在 书籍 中 出 现 所 有 命令 和 术语 ,同样 具有 通用 性 ,能 兼容 目前 网 络 工程 施工 
中 应 用 到 的 所 有 主流 设备 。 并 且 本 书 中 讲述 的 技术 原理 ,以 及 针对 网 络 问题 提出 的 解决 


方案 ,同样 可 以 适用 于 所 有 现实 网 络 工作 场景 。 
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访问 控制 安全 


Im 使 用 标准 IP ACL 进行 访问 控制 


【实验 名 称 】 

使 用 标准 IP ACL 进行 访问 控制 。 

【实验 目的 】 

使 用 标准 IP ACL 实现 简单 的 访问 控制 。 
【背景 描述 】 


某 公司 网 络 中 ,行政 部 .销售 部 门 和 财务 部 门 分 别 属 于 不 同 的 三 个 子 网 ,三 个 子 网 之 
间 使 用 路 由 器 进行 互联 。 行 政 部 所 在 的 子 网 为 172. 16. 1. 0/24 ,销售 部 所 在 的 子 网 为 
172. 16. 2. 0/24 ,财务 部 所 在 的 子 网 为 172. 16. 4. 0/24。 考 虑 到 信息 安全 的 问题 ,要 求 销 
售 部 不 能 对 财务 部 进行 访问 ,但 行政 部 可 以 对 财务 部 进行 访问 。 

【需求 分 析 】 

标准 IP ACL 可 以 根据 配置 的 规则 对 网 络 中 的 数据 进行 过 滤 。 

【实验 拓扑 】 

图 1-1 是 某 公司 部 门 之 间 网 络 拓 扑 规划 图 ,希望 实现 各 子 网 之 间 安 全 访问 控制 。 


172.16.1.0/24 


Fl1/0 SU2 1/2 F1/0 


BS 16.3.0/24 Qe vcr | 
ty" RI 


172.16.2.0/24 
图 1-1 某 公司 部 门 之 间 网 络 拓扑 规划 图 


【实验 设备 】 
路 由 器 2 台 ;PC 3 A. 
【预备 知识 


t 路 由 器 基本 配置 。 
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。 标准 IP ACL 原理 及 配置 。 

标准 IP ACL 简单 的 说 法 便 是 数据 包 过 滤 。 网 络 管理 人 员 通 过 对 网 络 互联 设备 的 配 
置 管理 ,来 实施 对 网 络 中 通过 的 数据 包 的 过 滤 ,从 而 实现 对 网 络 中 的 资源 进行 访问 输入 和 
输出 的 访问 控制 。 配 置 在 网 络 互联 设备 中 的 访问 控制 列表 ACL 实际 上 是 一 张 规则 检查 
表 , 这 些 表 中 包含 了 很 多 简单 的 指令 规则 ,告诉 交换 机 或 路 由 器 设备 ,哪些 数据 包 是 可 以 
接收 的 ,哪些 数据 包 是 需要 拒绝 的 。 

交换 机 或 路 由 器 设备 按照 ACL 中 的 指令 顺序 执行 这 些 规 则 ,处 理 每 一 个 进入 端口 
的 数据 包 , 实 现 对 进入 或 流出 网 络 互联 设备 中 的 数据 流 过 滤 。 通 过 在 网 络 互 联 设备 中 灵 
活 地 增加 访问 控制 列表 ,可 以 作为 一 种 网 络 控 制 的 有 力 工具 ,过 滤 流 入 和 流出 数据 包 , 确 
保 网 络 的 安全 ,因此 ACL 也 称 为 软件 防火 墙 。 

根据 访问 控制 标准 的 不 同 ，ACL 分 为 多 种 类 型 ,实现 不 同 的 网 络 安全 访问 控制 权 
限 。 常 见 的 ACL 有 两 类 :标准 访问 控制 列表 (Standard IP ACL) 和 扩展 访问 控制 列表 
(Extended IP ACL) ,在 规则 中 使 用 不 同 的 编号 区 别 , 其 中 标准 访问 控制 列表 的 编号 取 值 
范围 为 1 一 99; 扩 展 访问 控制 列表 的 编号 取 值 范围 为 100 一 199 。 

两 种 ACL 的 区 别 是 : 标准 ACL 只 匹配 、 检 查 数据 包 中 携带 的 源 地 址 信息 ;扩展 
ACL 不 仅仅 匹配 检查 数据 包 中 的 源 地 址 信息 ,还 检查 数据 包 的 目的 地 址 ,以 及 检查 数据 
包 的 特定 协议 类 型 .端口 号 等 。 

标准 访问 控制 列表 检查 数据 包 的 源 地 址 信息 ,数据 包 在 通过 网 络 设备 时 ,设备 解析 
IP 数据 包 中 的 源 地 址 信息 ,对 匹配 成 功 的 数据 包 采 取 拒 绝 或 允许 操作 。 在 编制 标准 的 访 
问 控制 列表 规则 时 ,使 用 编号 1 一 99 值 来 区 别 同 一 设备 上 配置 的 不 同 标准 访问 控制 列表 
条 数 。 

如 果 需 要 在 网 络 设备 上 配置 标准 访问 控制 列表 规则 ,使 用 以 下 的 语法 格式 : 


Access-list listnumber (permit | deny} source—address [ wildcardmask ] 


其 中 ， 

listnumber 是 区 别 不 同 ACL 规则 序号 ,标准 访问 控制 列表 的 规则 序号 值 的 范围 是 
1 一 99。 

permit 和 deny 表示 允许 或 禁止 满足 该 规则 的 数据 包 通 过 。 

source—address 代表 受 限 网 络 或 主机 的 源 IP 地 址 。 

wildcard-mask 是 源 IP 地 址 的 通配符 比较 位 ,也 称 反 掩 码 ,用 来 限定 匹配 网 络 范围 。 


【实验 原理 】 

标准 IP ACL 可 以 对 数据 包 的 源 IP 地 址 进行 检查 。 当 应 用 了 ACL 的 接口 接收 或 发 
送 数 据 包 时 ,将 根据 接口 配置 的 ACL 规则 对 数据 进行 检查 ,并 采取 相应 的 措施 , 允许 通 
过 或 拒绝 通过 ,从 而 达到 访问 控制 的 目的 ,提高 网 络 安全 性 。 

【实验 步骤 】 

OD R1 基本 配置 。 


Rl# configure terminal 
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R1 (config)# interface fastEthernet 1/0 
Rl (config-if) # ip address 172.16.1.1 255.255.255.0 
R1(config-if) #exit 


R1 (config) # interface fastEthernet 1/1 
R1 (config-if) # ip address 172.16.2.1 255.255.255.0 
R1(config-if) #exit 


R1 (config) # interface serial 1/2 
Rl (config-if) # ip address 172.16.3.1 255.255.255.0 
Rl (config if) #exit 


(2) R2 基本 配置 。 


R2# configure terminal 

R2 (config) # interface serial 1/2 

R2(config-if) # ip address 172.16.3.2 255.255.255.0 
R2(config-if) #exit 


R2 (config) # interface fastEthernet 1/0 
R2(config-if) # ip address 172.16.4.1 255.255.255.0 
R2(config-if) #exit 


(3) 查看 R1、R2 接口 状态 。 


R1# show ip interface brief 

Interface IP-Address (Pri) OK? Status 
serial 1/2 172.16.3.1/24 YES UP 
serial 1/3 no address YES DOWN 
FastEthernet 1/0 172.16.1.1/24 YES UP 
FastEthernet 1/1 172.16.2.1/24 YES UP 
Null 0 no address YES UP 
R2# show ip interface brief 

Interface IP-Address (Pri) OK? Status 
serial 1/2 172.16.3.2/24 YES UP 
serial 1/3 no address YES DOWN 
FastEthernet 1/0 172.16.4.1/24 YES UP 
FastEthernet 1/1 no address YES DOWN 
Null 0 no address YES UP 


(D 在 RI,R2 上 配置 静态 路 由 。 


R1 (config)# ip route 172.16.4.0 255.255.255.0 serial 1/2 


R2 (config) # ip route 172.16.1.0 255.255.255.0 serial 1/2 
R2 (config) # ip route 172.16.2.0 255.255.255.0 serial 1/2 
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(5) 配置 标准 IP ACL, 
对 于 标准 IP ACL, 由 于 只 能 对 报 文 的 源 IP 地 址 进行 检查 ,所 以 为 了 不 影响 源 端 的 其 
他 通信 ,通常 将 其 放置 到 距离 目标 近 的 位 置 , 在 本 实验 中 是 R2 的 F1/0 接口 。 


R2 (config)#access-list 1 deny 172.16.2.0 0.0.0.255 
! 拒绝 来 自 销售 部 172.16.2.0/24 子 网 的 流量 通过 


R2 (config)#access-list 1 permit 172.16.1.0 0.0.0.255 
! 允许 来 自行 政 部 172.16.1.0/24 子 网 的 流量 通过 


(6) 应 用 ACL。 


R2 (config)# interface fastEthernet 1/0 
R2 (config if)#ip access-group 1 out 


(7) 验证 测试 。 
在 行政 部 主机 (172. 16. 1. 0/24) ping 财务 部 主机 ,可 以 ping 通 。 在 销售 部 主机 
(172.16. 2. 0/24)ping 财务 部 主机 ,不 能 ping 通 。 


【注意 事项 】 

在 部 署 标 准 ACL 时 ,需要 将 其 放置 到 距离 目标 近 的 位 置 ,否则 可 能 会 阻 断 正常 的 
通信 。 

【参考 配置 】 

R1# show running config 


Building configuration... 

Current configuration : 626 bytes 

2 

hostname Rl 

D 

interface serial 1/2 
ip address 172.16.3.1 255.255.255.0 
clock rate 64000 

Į 

interface serial 1/3 

clock rate 64000 

3 

interface FastEthernet 1/0 
ip address 172.16.1.1 255.255.255.0 
duplex auto 
speed auto 

1 

interface FastEthernet 1/1 
ip address 172.16.2.1 255.255.255.0 


duplex auto 
speed auto 
! 
ip route 172.16.4.0 255.255.255.0 serial 1/2 
i] 
line con 0 
line aux 0 
line vty 0 4 
login 
1 


End 


R2# show running-config 


Building configuration... 
Current configuration : 671 bytes 
? 
hostname R2 
H 
ip access-list standard 1 
10 deny 172.16.2.0 0.0.0.255 
20 permit 172.16.1.0 0.0.0.255 
! 
interface serial 1/2 
ip address 172.16.3.2 255.255.255.0 
! 
interface serial 1/3 
clock rate 64000 
L 
interface FastEthernet 1/0 
ip access-group 1 out 
ip address 172.16.4.1 255.255.255.0 
duplex auto 
Speed auto 
I 
interface FastEthernet 1/1 
ip address 172.16.2.1 255.255.255.0 
duplex auto 
speed auto 
H 
ip route 172.16.1.0 255.255.255.0 serial 1/2 
ip route 172.16.2.0 255.255.255.0 serial 1/2 
1 


line con 0 
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line aux 0 


line vty 0 4 
login 
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【实验 名 称 】 

使 用 扩展 IP ACL 进行 高 级 访问 控制 。 

【实验 目的 】 

使 用 扩展 IP ACL 实现 高 级 的 访问 控制 。 

【背景 描述 】 

某 校园 网 中 ,宿舍 网 、 教 工 网 和 服务 器 区 域 分 别 属于 不 同 的 三 个 子 网 ,三 个 子 网 之 
间 使 用 路 由 器 进行 互联 。 宿 舍 网 所 在 的 子 网 为 172. 16. 1. 0/24, 教 工 网 所 在 的 子 网 为 
172. 16. 2.0/24, 服 务 器 区 域 所 在 的 子 网 为 172. 16. 4. 0/24。 

现在 要 求学 生 网 的 主机 只 能 访问 服务 器 区 域 的 FTP 服务 器 ,而 不 能 访问 WWW 
Server。 对 于 教工 网 主机 ,可 以 同时 访问 FTP Server #1 WWW Server。 此 外 ,除了 宿舍 
网 和 教工 网 到 达 服 务 器 区 域 的 FTP 和 WWW 流量 以 外 ,不 允许 任何 其 他 的 数据 流 到 达 
服务 器 区 域 。 


【需求 分 析 】 
PJR IP ACL 可 以 根据 配置 的 规则 对 网 络 中 的 数据 进行 过 滤 。 


【实验 拓扑 】 
图 1-2 是 某 校园 宿舍 网 .教工 网 和 服务 器 之 间 网 络 拓扑 规划 图 ,希望 实现 各 子 网 之 间 
安全 访问 控制 。 


172.16.1.0/24 


FTP Server 
于 172.16.4.2 
/0 si SU2 1/0 La 


WWW Server 
172.16.4.3 


172.16.3.0/24 


F1/1 RI 
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图 1-2 某 校园 宿舍 网 教工 网 和 服务 器 之 间 网 络 拓 扑 规划 
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【实验 设备 】 
路 由 器 2 台 ; PC 4 台 ( 其 中 两 台 需 要 分 别 安装 FTP 服务 和 WWW 服务 )。 


【预备 知识 】 

。 路 由 器 基本 配置 。 

。 扩展 IP ACL 原理 及 配置 。 

常见 IP ACL 有 两 类 :标准 访问 控制 列表 (Standard IP ACL) 和 扩展 访问 控制 列表 
(Extended IP ACL) ,在 规则 中 使 用 不 同 的 编号 区 别 , 其 中 标准 访问 控制 列表 的 编号 取 值 
范围 为 1 一 99; 扩 展 访问 控制 列表 的 编号 取 值 范围 为 100 一 199 。 

两 种 ACL 的 区 别 是 : 标准 ACL 只 匹配 、 检 查 数据 包 中 携带 的 源 地 址 信息 ;扩展 
ACL 不 仅仅 匹配 检查 数据 包 中 的 源 地 址 信息 ,还 检查 数据 包 的 目的 地 址 ,以 及 检查 数据 
包 的 特定 协议 类 型 .端口 号 等 。 扩 展 访 问 控制 列表 规则 大 大 扩展 了 数据 流 的 检查 细节 ,为 
网 络 的 访问 提供 了 更 多 的 访问 控制 功能 。 

如 果 要 阻止 来 自 某 一 网 络 的 所 有 通信 流 ,或 允许 来 自 某 一 特定 网 络 的 所 有 通信 流 , 可 
以 使 用 标准 访问 控制 列表 来 实现 。 标 准 访问 控制 列表 检查 路 由 中 的 数据 包 源 地 址 ,允许 
或 拒绝 基于 网 络 、 子 网 或 主机 IP 地 址 通信 流 ,通过 网 络 设备 出 口 。 

扩展 型 访问 控制 列表 在 数据 包 的 过 滤 和 控制 方面 ,增加 了 更 多 的 精细 度 和 灵活 性 , 具 
有 比 标准 的 ACL 更 强大 的 数据 包 检 查 功 能 。 扩 展 ACL 不 仅 检查 数据 包 源 IP 地 址 ,还 检 
查 数据 包 中 的 目的 IP 地 址 、 源 端口 .目的 端口 .建立 连接 和 TP 优先 级 等 特征 信息 。 利 用 
这 些 选 项 对 数据 包 特 征 信息 进行 匹配 。 

扩展 ACL 使 用 编号 范围 为 100 一 199 的 值 标识 区 别 同一 接口 上 的 多 条 列表 。 和 标 
准 ACL 相 比 ,扩展 ACL 也 存在 一 些 缺 点 :一 是 配置 管理 难度 加 大 ,考虑 不 周 很 容易 限 
制 正 常 的 访问 ;其 次 是 在 没有 硬件 加 速 的 情况 下 ,扩展 ACL 会 消耗 路 由 器 CPU 资源 。 
所 以 中 低档 路 由 器 进行 网 络 连接 时 ,应 尽量 减少 扩展 ACL 条 数 ,以 提高 系统 的 工作 
效率 。 

扩展 访问 控制 列表 的 指令 格式 如 下 : 


Access-list listnumber {permit | deny) protocol source source- wildcardmask destination| 


destination-wildcardmask [operator operand ] 


Hp, 

listnumber 的 标识 范围 为 100 一 199 。 

protocol 是 指定 需要 过 滤 的 协议 ,如 IP, TCP, UDP 和 ICMP 等 。 

source 是 源 地 址 :destination 是 目的 地 址 ;wildcard-mask 是 IP 反 扼 码 。 

operand 是 控制 的 源 端口 和 目的 端口 号 ,默认 为 全 部 端口 号 0 一 65 535。 端 口号 可 以 
使 用 数字 或 助 记 符 。 

operator 是 端口 控制 操作 符 , 完 成 诸如 “天 ”( 小 于 )“ 二 ”( 大 于 )“ 王 ”( 等 于 ) 以 及 
“和 天 ”( 不 等 于 ) 操 作 功 能 设置 。 支 持 的 操作 符 及 其 语法 如 表 1-1 所 示 。 
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表 1-1 扩展 访问 控制 列表 支持 的 操作 符 


操作 符 及 其 语法 意 pa 
eq portnumber 等 于 端口 号 portnumber 
gt portnumber 大 于 端口 号 portnumber 
lt portnumber 小 于 端口 号 portnumber 
neq portnumber 不 等 于 端口 号 portnumber 
range portnumberl portnumber2 介 于 端口 号 portnumberl 和 portnumber2 Z [A] 


其 他 语法 规则 中 的 deny/permit、` 源 地 址 和 通配符 屏蔽 码 、 目 的 地 址 和 通配符 屏蔽 码 ， 
以 及 host/any 的 使 用 方法 均 与 标准 访问 控制 列表 语法 规则 相同 。 


【实验 原理 】 

扩展 IP ACL 可 以 对 数据 包 的 源 TP 地 址 、 目 的 TP 地 址 ,协议 . 源 端 口 、 目 的 端口 进行 
检查 。 由 于 扩展 IP ACL 能 够 提供 更 多 的 对 数据 包 的 检查 项 ,所 以 扩展 IP ACL 常用 于 
高 级 ,复杂 的 访问 控制 。 当 应 用 了 ACL 的 接口 接收 或 发 送 报 文 时 ,将 根据 接口 配置 的 
ACL 规则 对 数据 进行 检查 ,并 采取 相应 的 措施 ,允许 通过 或 拒绝 通过 ,从 而 达到 访问 控制 
的 目的 ,提高 网 络 安全 性 。 


【实验 步骤 】 
(OD RI 基本 配置 。 


R1# configure terminal 

R1 (config) # interface fastEthernet 1/0 

Rl (config-if) # ip address 172.16.1.1 255.255.255.0 
Rl (config-if) #exit 


R1 (config) # interface fastEthernet 1/1 
Rl (config-if) # ip address 172.16.2.1 255.255.255.0 
Rl (config-if) #exit 


R1 (config) # interface serial 1/2 
Rl(config-if)£ip address 172.16.3.1 255.255.255.0 
Rl (config-if) #exit 


(2) R2 基本 配置 。 


R2# configure terminal 

R2 (config)# interface serial 1/2 
R2(config-if)#ip address 172.16.3.2 255.255.255.0 
R2(config-if) #exit 


R2 (config) # interface fastEthernet 1/0 
R2(config-if)#ip address 172.16.4.1 255.255.255.0 
R2(config-if) #exit 
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(3) 查看 R1、R2 接口 状态 。 


R1# show ip interface brief 

Interface IP-Address (Pri) OK? Status 
serial 1/2 172.16.3.1/24 YES UP 
serial 1/3 no address YES DOWN 
FastEthernet 1/0 172.16.1.1/24 YES UP 
FastEthernet 1/1 172.16.2.1/24 YES UP 
Null 0 no address YES UP 

R2# show ip interface brief 

Interface IP-Address (Pri) OK? Status 
serial 1/2 172.16.3.2/24 YES UP 
serial 1/3 no address YES DOWN 
FastEthernet 1/0 172.16.4.1/24 YES UP 
FastEthernet 1/1 no address YES DOWN 
Null 0 no address YES UP 


(4) 在 RI,R2 上 配置 静态 路 由 。 


R1 (config) # ip route 172.16.4.0 255.255.255.0 serial 1/2 


R2 (config) # ip route 172.16.1.0 255.255.255.0 serial 1/2 
R2 (config) # ip route 172.16.2.0 255.255.255.0 serial 1/2 


(5) 配置 扩展 IP ACL, 


对 于 扩展 IP ACL, 巾 于 可 以 对 数据 包 中 的 多 个 元 素 进行 检查 ,因此 可 以 将 其 放置 到 
距离 源 端 近 的 位 置 ,在 本 实验 中 是 R1 的 S1/2 接口 。 
R1 (config) # access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 172.16.4.2 eq ftp 


R1 (config) # access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 172.16.4.2 eq ftp-data 
! 允许 来 自 宿舍 网 172.16.1.0/24 子 网 的 到 达 FTP Server(172.16.4.2) 的 流量 


R1 (config)#access-list 100 permit tcp 172.16.2.0 0.0.0.255 host 172.16.4.2 eq ftp 
R1 (config) # access-list 100 permit tcp 172.16.2.0 0.0.0.255 host 172.16.4.2 eq ftp-data 
! 允许 来 自 教工 网 172.16.2.0/24 子 网 的 到 达 FTP Server(172.16.4.2) 的 流量 


R1 (config)#access-list 100 permit tcp 172.16.2.0 0.0.0.255 host 172.16.4.3 eq www 
! 允许 来 自 教工 网 172.16.2.0/24 子 网 的 到 达 WwW Server(172.16.4.3) 的 流量 


(6) 应 用 ACL. 


R1 (config)# interface serial 1/2 

R1 (config-if) # ip access-group 100 out 

(7) 在 主机 上 安装 FTP Server 和 WWW Server. 
过 程 略 。 
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(8) 验证 测试 。 
在 宿舍 网 主机 可 以 访问 到 FTP Server, 但 是 不 能 访问 WWW Server。 在 教工 网 主机 
(172. 16. 2.0/24) 可 以 访问 到 FTP Server 和 WWW Server. 


【注意 事项 】 
在 部 署 标准 ACL 时 ,需要 将 其 放置 到 距离 源 端 近 的 位 置 ,可 以 防止 不 要 的 流量 在 网 
络 中 传输 。 


【参考 配置 】 
R1# show running config 


Building configuration... 
Current configuration : 667 bytes 


hostname Rl 


ip access-list extended 100 
10 permit tcp 172.16.1.0 0.0.0.255 host 172.16.4.2 eq ftp 
20 permit tcp 172.16.1.0 0.0.0.255 host 172.16.4.2 eq ftp-data 
30 permit tcp 172.16.2.0 0.0.0.255 host 172.16.4.2 eq ftp 
40 permit tcp 172.16.2.0 0.0.0.255 host 172.16.4.2 eq ftp-data 
50 permit tcp 172.16.2.0 0.0.0.255 host 172.16.4.3 eq www 
1 
interface serial 1/2 
ip access-group 100 out 
ip address 172.16.3.1 255.255.255.0 
clock rate 64000 
H 
interface serial 1/3 
clock rate 64000 
E 
interface FastEthernet 1/0 
ip address 172.16.1.1 255.255.255.0 
duplex auto 
speed auto 
H 
interface FastEthernet 1/1 
ip address 172.16.2.1 255.255.255.0 
duplex auto 
speed auto 
d 
ip route 172.16.4.0 255.255.255.0 serial 1/2 
10 


1 

line con 0 

line aux 0 

line vty 0 4 
login 

' 


End 


R24 show running config 


Building configuration... 
Current configuration : 611 bytes 
i 
hostname R2 
H 
interface serial 1/2 
ip address 172.16.3.2 255.255.255.0 
? 
interface serial 1/3 
clock rate 64000 
1 
1 
interface FastEthernet 1/0 
ip address 172.16.4.1 255.255.255.0 
duplex auto 
speed auto 
! 
ip route 172.16.1.0 255.255.255.0 serial 1/2 
ip route 172.16.2.0 255.255.255.0 serial 1/2 
! 
! 
line con 0 
line aux 0 
line vty 04 
login 


1.3 使 用 MAC ACL 进行 
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【实验 名 称 】 

使 用 MAC ACL 进行 访问 控制 。 

【实验 目的 】 

使 用 基于 MAC 的 ACL 实现 高 级 的 访问 控制 。 

【背景 描述 】 

某 公司 的 一 个 简单 的 局 域 网 中 ,通过 使 用 一 台 交 换 机 提供 主机 及 服务 器 的 接 人 ,并且 
所 有 主机 和 服务 器 均 属于 同一 个 VLAN(VLAN2) 中 。 网 络 中 有 三 台 主 机 和 一 台 财 务 服 


务 器 (Accounting Server) 。 现 在 需要 实现 访问 控制 ,只 允许 财务 部 主机 (172. 16. 1. 1) 访 
问 财务 服务 器 。 


【需求 分 析 】 
基于 MAC 的 ACL 可 以 根据 配置 的 规则 对 网 络 中 的 数据 进行 过 滤 。 
【实验 拓扑 】 


图 1-3 是 某 公司 简单 的 局 域 网 中 的 拓扑 规划 图 ,希望 实现 子 网 之 间 基 于 MAC 的 
ACL 高 级 安全 访问 控制 。 


172.16.1.254/24 
000d.000d.000d 


Accounting 
Server 


FO/2 


172.16.1.2/24 172.16.1.3/24 
000b.000b.000b 000c.000c.000c 


172.16.1.1/24 
000a.000a.000a 


图 1-3 某 公 司 局 域 网 基于 MAC 的 ACL 规划 拓扑 规划 


【实验 设备 】 
交换 机 1 台 ;PC 4 A. 


【预备 知识 

t 交换 机 基本 配置 。 

* 基于 MAC 的 ACL 原理 及 配置 。 

MAC 地 址 是 网 络 设备 全 球 唯一 编号 ,也 就 是 通常 所 说 的 物理 地 址 、 硬 件 地 址 、 适 配 
器 地 址 或 网 卡 地 址 。MAC 地 址 可 用 于 直接 标识 某 个 网 络 设备 ,是 目前 网 络 数据 交换 的 
基础 。 

现在 大 多 数 的 高 端 交 换 机 都 支持 基于 物理 端口 配置 MAC 地 址 过 滤 表 ,用 于 限定 只 
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有 与 MAC 地 址 过 滤 表 中 规定 的 一 些 网 络 设备 有 关 的 数据 包 , 才 能 使 用 该 端口 进行 传递 。 
通过 MAC 地 址 过 滤 技 术 可 以 保证 授权 的 MAC 地 址 才能 对 网 络 资源 进行 访问 。 

与 802. 1x 协议 不 同 ,基于 MAC 地 址 访问 控制 不 需要 额外 的 客户 端 软件 , 当 一 个 客 
户 端 连接 到 交换 机 上 会 自动 地 进行 认证 过 程 。 基 于 MAC 地 址 访问 控制 功能 允许 用 户 配 
置 一 张 MAC 地 址 表 , 交 换 机 可 以 通过 存储 在 交换 机 内 部 或 远 端 认证 服务 器 上 面 的 MAC 
地 址 列表 来 控制 合法 或 非法 的 用 户 访问 。 


【实验 原理 】 

基于 MAC 的 ACL 可 以 对 数据 包 源 MAC 地 址 .目的 MAC 地 址 和 以 太 网 类 型 进行 
检查 ,基于 MAC 的 ACL 是 二 层 ACL, 而 标准 IP ACL 和 扩展 IP ACL 是 三 层 和 四 层 的 
ACL。 由 于 标准 IP ACL 和 扩展 IP ACL 是 对 数据 包 的 IP 地 址 信息 进行 检查 ,并 且 IP 地 
址 是 逻辑 地 址 ,用 户 可 以 对 其 进行 修改 ,所 以 很 容易 逃避 ACL 的 检查 。 但 基于 MAC 的 
ACL 是 对 数据 包 的 物理 地 址 (MAC) 进 行 检查 ,所 以 用 户 很 难 通过 修改 MAC 地 址 逃避 
ACL 的 过 滤 。 

当 应 用 了 MAC ACL 接口 接收 或 发 送 报 文 时 ,将 根据 接口 配置 ACL 规则 对 数据 进 
行 检查 ,并 采取 相应 的 措施 ,允许 通过 或 拒绝 通过 ,从 而 达到 访问 控制 的 目的 ,提高 网 络 安 
全 性 。 


【实验 步骤 】 
(1) 交换 机 基本 配置 。 


Switch# configure terminal 
Switch (config)#vlan 2 
Switch (config-vlan) # exit 


Switch (config) # interface range fastEthernet 0/1-3 
Switch (config-if- range) # switchport access vlan 2 
Switch (config if range) # exit 


Switch (config) # interface fastEthernet 0/12 

Switch (config if) # switchport access vlan 2 

Switch (config if) # exit 

(2) 配置 MAC ACL, 

由 于 本 例 中 使 用 的 交换 机 不 支持 出 方向 (out) 的 MAC ACL, 因 此 需要 将 MAC ACL 
配置 在 接 入 主机 端口 的 入 方向 (in)。 由 于 只 允许 财务 部 主机 访问 财务 服务 器 ,所 以 需要 
在 接 入 其 他 主机 的 接口 的 入 方向 禁止 其 访问 财务 服务 器 。 


Switch (config)#mac access-list extended deny to accsrv 
Switch (config mac-nacl)# deny any host 000d.000d.000d 
! 拒绝 到 达 财务 服务 器 的 所 有 流量 


Switch (config mac-nacl)#permit any any ! 允许 其 他 所 有 流量 
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Switch (config-mac-nacl) # exit 


(3) 应 用 ACL. 


将 MAC ACL 应 用 到 FO/2 和 FO/3 接口 和 方向 ,以 限制 非 财务 部 主机 访问 财务 服 
务 器 。 


Switch (config) # interface fastEthernet 0/2 
Switch (config-if) #mac access-group deny to accsrv in 
Switch (config if) ¢ exit 


Switch (config) # interface fastEthernet 0/3 

Switch (config-if) #mac access-group deny to accsrv in 

Switch (config if) #end 

(4) 验证 测试 。 

在 财务 部 主机 上 ping 财务 服务 器 ,可 以 ping 通 , 但 是 在 其 他 两 台 非 财务 部 主机 上 
ping 财务 服务 器 ,无 法 ping 通 , 说 明 其 他 两 台 主 机 到 达 财 务 服务 器 的 流量 被 MAC ACL 
拒绝 。 


【注意 事项 】 

在 一 些 交换 机 中 ,只 支持 和 方向 的 MAC ACL, 所 以 在 配置 和 应 用 MAC ACL 时 需要 
考虑 ACL 规则 的 配置 方式 ,以 及 应 用 MAC ACL 的 接口 。 

基于 MAC 地 址 的 访问 控制 对 交换 设备 的 要 求 不 高 ,并 且 基 本 对 网 络 性 能 没有 影响 ， 
配置 命令 相对 简单 ,比较 适合 小 型 网 络 ,规模 较 大 的 网 络 不 适用 。 

使 用 MAC 地 址 访问 控制 技术 要 求 网 络 管理 员 必 须 明 确 网 络 中 每 个 网 络 设备 的 
MAC 地 址 ,并 要 根据 控制 要 求 对 交换 机 的 MAC 表 进 行 配置 。 采 用 MAC 地 址 访问 控制 
对 于 网 管 员 来 说 ,其 负担 是 相当 重 的 ,而 且 随 着 网 络 设备 数量 的 不 断 扩大 , 它 的 维护 工作 
量 也 不 断 加 大 。 

另外 ,还 存在 一 个 安全 隐患 , 那 就 是 现在 许多 网 卡 都 支持 MAC 地 址 重新 配置 ,非法 
用 户 可 以 通过 将 自己 所 用 网 络 设 备 的 MAC 地 址 改 为 合法 用 户 MAC 地 址 的 方法 ,使 用 
MAC 地 址 “欺骗 ”, 成 功 通过 交换 机 的 检查 ,进而 非法 访问 网 络 资源 


【参考 配置 】 


Switch# show running config 


Building configuration... 

Current configuration : 1481 bytes 
H 

hostname Switch 

H 

vlan 1 

1 


vlan 2 


1 
mac access-list extended deny to accsrv 
10 deny any host 000d.000d.000d etype-any 
20 permit any any etype-any 
! 
interface FastEthernet 0/1 
switchport access vlan 2 
i 
interface FastEthernet 0/2 
switchport access vlan 2 
mac access-group deny to accsrv in 
x 
interface FastEthernet 0/3 
switchport access vlan 2 
mac access-group deny to accsrv in 
1 


interface FastEthernet 0/4 
interface FastEthernet 0/5 


interface FastEthernet 0/6 
! 


interface FastEthernet 0/7 
interface FastEthernet 0/8 


interface FastEthernet 0/9 
1 


interface FastEthernet 0/10 
interface FastEthernet 0/11 


interface FastEthernet 0/12 
H 

switchport access vlan 2 
! 


interface FastEthernet 0/13 
interface FastEthernet 0/14 
interface FastEthernet 0/15 


interface FastEthernet 0/16 
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interface FastEthernet 0/17 


interface FastEthernet 0/18 


interface FastEthernet 0/19 
interface FastEthernet 0/20 


interface FastEthernet 0/21 


interface FastEthernet 0/22 
interface FastEthernet 0/23 


interface FastEthernet 0/24 
1 


interface GigabitEthernet 0/25 


interface GigabitEthernet 0/26 
| 


interface GigabitEthernet 0/27 


interface GigabitEthernet 0/28 
H 
line con 0 
line vty0 4 
login 


End 
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【实验 名 称 】 

使 用 专家 ACL 进行 高 级 访问 控制 。 
【实验 目的 

使 用 专家 ACL 实现 高 级 的 访问 控制 。 
CEE ES] 


某 公司 的 一 个 简单 的 局 域 网 中 ,通过 使 用 一 台 交 换 机 提供 主机 及 服务 器 的 接 入 ,并 且 
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所 有 主机 和 服务 器 均 属于 同一 个 VLAN(VLAN2) 中 。 网 络 中 有 三 台 主 机 和 一 台 财 务 服 
务 器 (Accounting Server)。 现 在 需要 实现 访问 控制 ,只 允许 财务 部 主机 (172. 16. 1. 1) 访 
问 财务 服务 器 上 的 财务 服务 (TCP 5555) ,而 其 他 服务 不 允许 访问 。 


【需求 分 析 】 

专家 ACL 可 以 根据 配置 的 规则 对 网 络 中 的 数据 进行 过 滤 。 

【实验 拓扑 】 

图 1-4 是 某 公 司 简单 的 局 域 网 中 的 拓扑 规划 图 ,希望 实现 子 网 之 间 基 于 专家 ACL 进 
行 高 级 访问 控制 。 


172.16.1.254/24 
000d.000d.000d 


Accounting 
Server 


FO/12 
F0/2 F0/3. 
172.16.1.2/24 F0/1 172.16.1.3/24 
000b.000b.000b 


172.16.1.1/24 
000a.000a.000a 


图 1-4 某 公 司 局 域 网 基于 专家 ACL 拓扑 规划 图 


【实验 设备 】 

交换 机 1 台 ;PC 4 台 。 
【预备 知识 

+ 交换 机 基本 配置 。 

。 专 家 ACL 原理 及 配置 。 


【实验 原理 】 

专家 ACL 是 考虑 到 实际 网 络 的 复杂 需求 ,将 ACL 的 检测 元 素 扩展 到 源 MAC 地 址 、 
目的 MAC 地 址 、 源 IP 地 址 、 目 的 IP 地 址 、 源 端口 、 目 的 端口 和 协议 ,从 而 可 以 实现 对 数 
据 更 精确 的 过 滤 ,满足 网 络 的 复杂 需求 。 

当 应 用 了 专家 ACL 的 接口 接收 或 发 送 报 文 时 ,将 根据 接口 配置 的 ACL 规则 对 数据 
进行 检查 ,并 采取 相应 的 措施 ,允许 通过 或 拒绝 通过 ,从 而 达到 访问 控制 的 目的 ,提高 网 络 
安全 性 。 


【实验 步 又】 
(1) 交换 机 基本 配置 。 


Switch# configure terminal 


Switch (config) #vlan 2 
Switch (config-vlan) # exit 


Switch (config) # interface range fastEthernet 0/13 
Switch (config if range) # switchport access vlan 2 
Switch (config if range) # exit 


Switch (config) # interface fastEthernet 0/12 

Switch (config if) # switchport access vlan 2 

Switch (config if) # exit 

(2) 配置 专家 ACL 

由 于 本 例 中 使 用 的 交换 机 不 支持 出 方向 (out) 的 专家 ACL, 所 以 需要 将 专家 ACL 配 


置 在 接 和 人 主机 端口 的 和 方向 (in)。 由 于 只 允许 财务 部 主机 访问 财务 服务 器 的 特定 服务 ， 
因此 需要 在 接 人 其 他 主机 的 接口 的 入 方向 禁止 其 访问 财务 服务 器 ,并 在 接 和 人 财务 部 主机 
的 接口 的 入 方向 只 允许 其 访问 财务 服务 器 上 的 特定 服务 。 


配置 针对 非 财务 部 主机 的 专家 ACL: 


Switch (config)# expert access-list extended deny to accsrv 
Switch (config-exp-nacl) # deny any any host 172.16.1.254 host 000d.000d.000d 
! 拒绝 到 达 财 务 服务 器 的 所 有 流量 


Switch (config-exp-nacl) #permit any any any any 
! 允许 其 他 所 有 流量 


Switch (config-exp-nacl) # exit 
配置 针对 财务 部 主机 的 专家 ACL. 


Switch (config) # expert access-list extended allow_to_accsrv5555 

Switch (config-exp-nacl) # permit tcp host 172.16.1.1 host 000a.000a.000a host 172.16.1.254 
any eq 5555 

! 允许 财务 部 主机 访问 财务 服务 器 上 的 特定 服务 


Switch (config exp-nacl)#permit icmp host 172.16.1.1 host 000a.000a.000a host 172.16.1.254 
host 000d.000d.000d 


! 允许 财务 部 主机 到 达 财务 服务 器 的 ICMP 报 文 ,以 便 后 续 进 行 测试 


Switch (config exp-nacl)#deny any any host 172.16.1.254 any 
! 拒绝 到 达 财务 服务 器 的 所 有 流量 


Switch (config exp nacl)#permit any any any any 
! 允许 其 他 所 有 流量 


Switch (config-exp-nacl) # exit 


mu 1.4 使 用 专家 ACL 进行 高 级 访问 控制 


(3) 应 用 ACL. 
将 专家 ACL"deny_to_accsrv" 应 用 到 FO/2 接口 和 FO/3 接口 的 入 方向 ,以 限制 非 财 
务 部 主机 访问 财务 服务 器 。 


Switch (config)# interface fastEthernet 0/2 
Switch (config-if) #expert access-group deny to_accsrv in 
Switch (config-if) # exit 


Switch (config) # interface fastEthernet 0/3 
Switch (config-if) # expert access-group deny to accsrv in 
Switch (config if) # exit 


将 专家 ACL" allow_to_acesrv5555" M HH 8] FO/1 接口 的 入 方向 ,以 限制 财务 部 主机 
访问 财务 服务 器 的 其 他 服务 。 


Switch (config)# interface fastEthernet 0/1 

Switch (config if)#expert access-group allow to accsrv5555 in 

Switch (config if)#end 

(4) 验证 测试 。 

在 财务 部 主机 上 ping 财务 服务 器 ,可 以 ping 通 , 并 且 可 以 访问 服务 器 上 的 财务 服务 
(TCP 5555) ,但 是 不 能 访问 服务 器 上 的 其 他 服务 。 在 其 他 两 台 非 财务 部 主机 上 ping W 
务 服务 器 ,无 法 ping 通 , 说 明 其 他 两 台 主 机 到 达 财 务 服务 器 的 流量 被 专家 ACL 拒绝 。 


【注意 事项 】 
在 一 些 交换 机 中 ,只 支持 入 方向 的 专家 ACL, 所 以 在 配置 和 应 用 专家 ACL 时 需要 考 
IE ACL 规则 的 配置 方式 ,以 及 应 用 专家 ACL 的 接口 。 


【参考 配置 】 


Switch# show running config 


Building configuration... 
Current configuration : 1872 bytes 
1 


hostname Switch 


expert access-list extended allow to accsrv5555 
10 permit tcp host 172.16.1.1 host 000a.000a.000a host 172.16.1.254 any eq 5555 
20 permit icmp host 172.16.1.1 host 000a.000a.000a host 172.16.1.254 host 000d.000d.000d 
30 deny ip host 172.16.1.1 host 000a.000a.000a host 172.16.1.254 any 
40 permit ip any any any any 
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! 
expert access-list extended deny to accsrv 
10 deny ip any any host 172.16.1.254 any 
20 permit ip any any any any 
! 
interface FastEthernet 0/1 
switchport access vlan 2 
expert access-group allow_to_accsrv5555 in 
J 
interface FastEthernet 0/2 
switchport access vlan 2 
expert access-group deny to_accsrv in 
a 
interface FastEthernet 0/3 
switchport access vlan 2 
expert access-group deny to accsrv in 
1 
interface FastEthernet 0/4 
1 
interface FastEthernet 0/5 
! 
interface FastEthernet 0/6 
! 
interface FastEthernet 0/7 
! 
interface FastEthernet 0/8 
L 
interface FastEthernet 0/9 
interface FastEthernet 0/10 
H 
interface FastEthernet 0/11 
H 
interface FastEthernet 0/12 
switchport access vlan 2 
! 
interface FastEthernet 0/13 
H 
interface FastEthernet 0/14 
3 
interface FastEthernet 0/15 
3 
interface FastEthernet 0/16 
id 
interface FastEthernet 0/17 
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! 
interface FastEthernet 0/18 
1 
interface FastEthernet 0/19 
1 
interface FastEthernet 0/20 
! 
interface FastEthernet 0/21 
! 
interface FastEthernet 0/22 
H 
interface FastEthernet 0/23 
d 
interface FastEthernet 0/24 
r 
interface GigabitEthernet 0/25 
1 
interface GigabitEthernet 0/26 
1 
interface GigabitEthernet 0/27 
1 
interface GigabitEthernet 0/28 
! 
line con 0 
line vty 04 
login 
1 


end 


1.5 配置 基于 时 间 的 访问 控制 


【实验 名 称 】 
配置 基于 时 间 的 访问 控制 。 


【实验 目的 】 
使 用 基于 时 间 的 ACL 实现 基于 时 间 段 的 高 级 访问 控制 。 


【背景 描述 】 
某 公 司 的 网 络 中 使 用 一 台 路 由 器 提供 子 网 间 的 互联 。 子 网 172. 16. 1. 0/24 为 公司 员 
工 主机 所 在 的 网 段 , 其 中 公司 经 理 的 主机 地 址 为 172. 16. 1. 254/24; 子 网 10. 1. 1. 0/24 为 
公司 服务 器 网 段 , 其 中 有 两 台 服 务 器 ,一 台 WWW 服务 器 (10. 1. 1. 100/24) 和 一 台 FTP 
服务 器 (10. 1. 1. 200/24) 。 现 在 想 实现 基于 时 间 段 的 访问 控制 ,使 公司 员工 只 有 在 正常 上 
21 
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班 时 间 ( 周 一 至 周 五 9:00 一 18:00) 可 以 访问 FTP 服务 器 ,并 且 只 有 在 下 班 时 间 才 能 访问 
WWW 服务 器 ;对 于 经 理 的 主机 可 以 在 任何 时 间 访 问 这 两 台 服 务 器 。 

【需求 分 析 】 

基于 时 间 的 ACL 可 以 根据 配置 的 规则 在 不 同 的 时 间 段 对 网 络 中 的 数据 进行 过 滤 

【实验 拓扑 】 

图 1-5 是 某 公 司 局 域 网 中 的 拓扑 规划 图 ,希望 实现 子 网 之 间 基 于 时 间 的 ACL, 实 现 
基于 时 间 段 的 高 级 访问 控制 。 


FTP Server 
10.1.1.200/24 


WWW Server 
10.1.1.100/24 


10.1.1.0/24 
F0/1 


172.16. 1.0/24 
Di 161. 354/04 172.16.1.2/24 172.16.1.3/24 


图 1-5 某 公 司 局 域 网 基于 时 间 ACL 拓扑 规划 图 


【实验 设备 】 
路 由 器 1 台 ;PC 4 台 ( 其 中 两 台 作 为 WWW Server 和 FTP Server). 


【预备 知识 

。 路 由 器 基本 配置 。 

。 基于 时 间 的 ACL 原理 及 配置 。 

access-list 访问 列表 最 基本 的 有 两 种 ,分 别 是 标准 访问 列表 和 扩展 访问 列表 ,二 者 的 
区 别 主 要 是 前 者 是 基于 目标 地 址 的 数据 包 过 滤 ,而 后 者 是 基于 目标 地 址 、 源 地 址 和 网 络 协 
议 及 其 端口 的 数据 包 过 滤 。 

随 着 网 络 的 发 展 和 用 户 要 求 的 变化 ,出 现 了 一 种 基于 时 间 的 访问 列表 。 通 过 它 可 以 
根据 一 天 中 的 不 同时 间 ,或 根据 一 星期 中 的 不 同日 期 ,当然 也 可 以 二 者 结合 起 来 ,控制 对 
网 络 数 据 包 的 转发 。 

这 种 基于 时 间 的 ACL ,就 是 在 原来 的 标准 访问 列表 和 扩展 访问 列表 中 加 入 有 效 的 时 
间 范 围 来 更 合理 有 效 地 控制 网 络 。 它 需要 先 定义 一 个 时 间 范 围 ,然后 在 原来 的 各 种 访问 
列表 的 基础 上 应 用 它 。 并 且 , 对 于 编号 访问 表 和 名 称 访问 表 都 适用 。 

基于 时 间 的 ACL 语句 中 ,使 用 time-range 命令 来 指定 时 间 范 围 的 名 称 , 然 后 
用 absolute 命令 或 一 个 或 多 个 periodic 命令 来 具体 定义 时 间 范 围 。 其 标准 的 命令 格式 为 : 
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time range time-range-name absolute [start time date] [end time date] periodic days-of the| 


week hh:mm to [days-of-the week] hh:mm 


其 中 : 

time-range 用 来 定义 时 间 范 围 的 命令 。 

time-range-name 用 来 标识 时 间 范 围 ,便于 在 后 面 访问 列表 中 引用 。 

absolute 用 来 指定 绝对 时 间 范 围 。 它 后 面 紧 跟 start 和 end 两 个 关键 字 。 在 这 两 个 
关键 字 后 面 的 时 间 要 以 24 小 时 制 .hh:mm( 小 时 :分 钟 ) 表 示 , 日 期 要 按照 日 /月 /年 来 表 
示 。 可 以 看 到 ,它们 两 个 可 以 都 省 略 。 如 果 省 略 start 及 其 后 面 的 时 间 , 那 表示 与 之 相 联 
系 的 permit 或 deny 语句 立即 生效 ,并 一 直 作 用 到 end 处 的 时 间 为 止 ;如 果 省 略 end 及 其 
后 面 的 时 间 , 那 表示 与 之 相 联系 的 permit 或 deny 语句 在 start 处 表示 时 间 开 。 

上 面 讲 的 是 命令 和 基本 参数 ,为 了 便于 理解 ,看 两 个 应 用 例子 。 

CD 如 果 要 表示 每 天 早 8 点 到 晚 8 点 ,就 可 以 用 这 样 的 语句 : 


absolute start 8:00 end 20:00 


(2) 要 使 一 个 访问 列表 从 2000 4E 12 月 1 日 早 5 点 开始 起 作用 ,直到 2000 年 12 月 
31 日 晚 24 点 停止 作用 ,语句 如 下 : 


absolute start 5:00 1 December 2000 end 24:00 31 December 2000 
一 个 时 间 范 围 只 能 有 一 个 absolute 语句 ,但 指定 一 个 重复 发 生 ( 每 周 ) 开 始 和 结束 时 


间 ,可 使 用 多 个 periodic 语句 ,例如 定义 时 间 段 为 每 周 1 和 周 3 的 12:00 一 18:00, 语 句 
WTF: 


periodic mon 12:00 to 18:00 
periodic wen 12:00 to 18:00 


periodic 主要 是 以 星期 为 参数 来 定义 时 间 范 围 的 一 个 命令 。 参 数 Monday, Tuesday, 
Wednesday , Thursday, Friday , Saturday , Sunday A Ja] — #1) JE] H ) , weekdays CA Jal — 58] JA] 
FL) weekend( 周 六 到 周 日 ) 中 的 一 个 或 几 个 的 组 合 , 也 可 以 是 daily ER), weekday OR] 
一 到 周 五 ) 或 weekend( 周 末 ) 。 


【实验 原理 】 

基于 时 间 的 ACL 是 在 各 种 ACL 规则 (标准 ACL HJE ACL 等 ) 后 面 应 用 时 间 段 选 
项 (time-range) 以 实现 基于 时 间 段 的 访问 控制 。 当 ACL 规则 应 用 了 时 间 段 后 ,只 有 在 此 
时 间 范 围 内 规则 才 会 生效 。 此 外 ,只 有 配置 了 时 间 段 的 规则 才 会 在 指定 的 时 间 段 内 生效 ， 
其 他 未 引用 时 间 段 的 规则 将 不 受 影响 。 

【实验 步骤 】 

CD 路 由 器 基本 配置 。 


Router# configure terminal 
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Router (config)# interface fastEthernet 0/0 
Router (config if)#ip address 172.16.1.1 255.255.255.0 
Router (config-if) #exit 


Router (config) # interface fastEthernet 0/1 
Router (config if) # ip address 10.1.1.1 255.255.255.0 
Router (config-if) #exit 


(2) 配置 时 间 段 。 
定义 正常 上 班 的 时 间 段 。 


Router (config) # time-range work-time 
Router (config-time- range) # periodic weekdays 09:00 to 18:00 


Router (config-time-range) # exit 


(3) 配置 ACL. 
配置 ACL, 并 应 用 时 间 段 ,以 实现 需求 中 的 基于 时 间 段 的 访问 控制 。 


Router (config) # ip access-list extended accessctrl 
Router (config-ext-nacl) # permit ip host 172.16.1.254 10.1.1.0 0.0.0.255 
! 允许 经 理 的 主机 在 任何 时 间 访 问 两 台 服 务 器 


Router (config-ext-nacl) #permit tcp 172.16.1.0 0.0.0.255 host 10.1.1.200 eq ftp time-range 
work time 
Router (config-ext-nacl) # permit tcp 172.16.1.0 0.0.0.255 host 10.1.1.200 eq ftp-data time- 


range work time 


! 只 允许 员工 的 主机 在 上 班 时 间 访 问 FTP 服务 器 


Router (config-ext-nacl)# deny tcp 172.16.1.0 0.0.0.255 host 10.1.1.100 eq www time-range 
work time 


! 不 允许 员工 的 主机 在 上 班 时 间 访问 www 服务 器 


Router (config-ext-nacl) # permit tcp 172.16.1.0 0.0.0.255 host 10.1.1.100 eq www 
! 允许 员工 访问 www 服务 器 ,但 是 仅 当 系统 时 间 不 在 定义 的 时 间 段 范围 内 时 才 会 执行 此 条 规则 


Router (config-ext-nacl) # exit 


(4) 应 用 ACL. 
将 ACL 应 用 到 F0/0 接口 的 入 方向 。 
Router (config)# interface fastEthernet 0/0 


Router (config if)#ip access-group accessctrl in 
Router (config if) #end 


(5) 验证 测试 。 
在 上 班 时 间 ,普通 员工 的 主机 不 能 访问 WWW 服务 器 ,但 是 可 以 访问 FTP 服务 器 ; 
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下 班 时 间 可 以 访问 WWW 服务 器 ,但 是 不 能 访问 FTP 服务 器 。 经 理 的 主机 (172. 16. 1. 
254) 在 任何 时 间 都 可 以 访问 这 两 台 服 务 器 。 


【注意 事项 】 

。 在 使 用 基于 时 间 的 ACL 时 ,要 保证 设备 (路 由 器 或 交换 机 ) 的 系统 时 间 的 准确 , 因 
为 设备 是 根据 自己 的 系统 时 间 来 判断 当前 时 间 是 否 在 时 间 段 范围 内 。 可 以 在 特 
权 模 式 下 使 用 show clock 命令 查看 当前 系统 时 间 ,并 且 使 用 clock set 命令 调整 系 
统 时 间 。 

。 通过 调整 设备 的 系统 时 间 来 实现 在 不 同时 间 段 测试 ACL 是 否 生 效 。 


【参考 配置 】 


Router# show running-config 


Building configuration... 
Current configuration : 928 bytes 
! 
hostname Router 
1 
time-range work-time 
periodic Weekdays 9:00 to 18:00 
! 
! 
ip access-list extended accessctrl 
10 permit ip host 172.16.1.254 10.1.1.0 0.0.0.255 
20 permit tcp 172.16.1.0 0.0.0.255 host 10.1.1.200 eq ftp time range worktime 
30 permit tcp 172.16.1.0 0.0.0.255 host 10.1.1.200 eq ftp-data time range worktime 
40 deny tcp 172.16.1.0 0.0.0.255 host 10.1.1.100 eq www time range work-time 
50 permit tcp 172.16.1.0 0.0.0.255 host 10.1.1.100 eq www 
上 
interface FastEthernet 0/0 
ip access-group accessctrl in 
duplex auto 
speed auto 
1 
interface FastEthernet 0/1 
duplex auto 
speed auto 
i] 
4 
line con 0 
line aux 0 


line vty 0 4 
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【实验 名 称 】 

使 用 IP-MAC 绑 定 增强 接 人 安全。 

【实验 目的 】 

使 用 交换 机 的 IP-MAC 绑 定 功能 增强 网 络 接 人 的 安全 性 。 

【背景 描述 】 

某 企 业 的 网 络 管理 员 发 现 经 常 有 员工 私自 将 自己 的 笔记 本 式 计算 机 接 人 到 网 络 中 ， 
而 且 有 些 员工 通过 使 用 HUB 将 多 个 网 络 设备 接 人 到 交换 机 端口 上 。 此 外 ,有 些 员工 还 
使 用 非法 的 IP 地 址 访问 网 络 资源 ,给 网 络 管理 和 维护 增加 了 复杂 度 。 


【需求 分 析 】 
对 于 网 络 中 出 现 的 这 种 问题 ,需要 防止 用 户 接 入 非法 或 未 授权 的 设备 ,以 及 私自 修改 
或 使 用 非法 的 IP 地址。 交换 机 的 IP-MAC 绑 定 功能 可 以 满足 这 个 要 求 ,提高 网 络 接 和 人 安 


【实验 拓扑 】 
图 2-1 是 某 公司 局 域 网 中 的 拓扑 规划 图 ,希望 实现 局 域 网 中 ,使 用 交换 机 的 IP-MAC 
绑 定 功能 ,增强 网 络 接 人 的 安全 控制 功能 。 


PCL PC2 
$, F0/1 S F0/2 $5 
192.168.1.1/24 F0/3 192.168.1.2/24 


1 

I 

| 
192,168.1.3/24 LS PC3 

图 2-1 某 公司 局 域 网 交换 机 IP-MAC 绑 定安 全 控制 


【实验 设备 】 
交换 机 1 台 ;PC 3 台 
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【预备 知识 

。 交换 机 转发 原理 。 

* 交换 机 基本 配置 。 

。 IP-MAC 绑 定 原理 。 

目前 IP 地 址 是 根据 现在 的 IPv4 标准 指定 的 ,不 受 硬件 限制 ,比较 容易 记忆 的 地 址 ， 
长 度 为 4 字 节 。 而 MAC 地 址 却 是 用 网 卡 的 物理 地 址 ,保存 在 网 卡 的 EPROM 里 面 ,与 硬 
件 有 关系 , 较 难 记忆 ,长 度 为 6 字 节 。 

虽然 在 TCP/IP 网 络 中 ,计算 机 往往 需要 设置 IP 地 址 后 才能 通信 ,然而 ,实际 上 计算 
机 之 间 的 通信 并 不 是 通过 IP 地 址 ,而 是 借助 于 网 卡 的 MAC 地 址 。IP 地 址 只 是 被 用 于 查 
询 欲 通信 的 目的 计算 机 的 MAC 地 址 。ARP 协议 是 用 来 向 对 方 的 计算 机 、 网 络 设 备 通知 
自己 IP 对 应 的 MAC 地 址 的 。 在 计算 机 的 ARJ 缓存 中 包含 一 个 或 多 个 表 , 用 于 存储 IP 
地 址 及 其 经 过 解析 的 以 太 网 MAC 地 址 。 一 台 计 算 机 与 男 一 台 IP 地 址 的 计算 机 通信 后 ， 
在 ARP 缓存 中 会 保留 相应 的 MAC 地址。 所 以 ,下 次 和 同一 个 IP 地 址 的 计算 机 通信 ,将 
不 再 查询 MAC 地 址 ,而 是 直接 引用 缓存 中 的 MAC 地 址 。 

在 交换 式 网 络 中 ,交换 机 也 维护 一 张 MAC 地 址 表 , 并 根据 MAC 地 址 将 数据 发 送 至 
目的 计算 机 。 巾 于 IP 地址 是 虚拟 地 址 ,计算 机 上 IP 地 址 的 修改 非常 容易 ,而 MAC 地 址 
存储 在 网 卡 的 EEPROM 中 , 且 网 卡 的 MAC 地 址 是 唯一 确定 的 。 因 此 ,为 了 防止 内 部 人 
员 进 行 非法 IP 次 用 (例如 盗用 权限 更 高 人 员 的 TP 地 址 ,以 获得 权限 外 的 信息 ), 可 以 将 内 
部 网 络 的 IP 地 址 与 MAC 地 址 绑 定 ,盗用 者 即使 修改 了 IP 地 址 ,也 因 MAC 地 址 不 匹配 
而 盗用 失败 。 而 且 由 于 网 卡 MAC 地 址 的 唯一 确定 性 ,可 以 根据 MAC 地 址 查 出 使 用 该 
MAC 地 址 的 网 卡 ,进而 查 出 非法 盗用 者 。 

因此 ,可 以 采用 MAC 地 址 与 IP 地 址 的 绑 定 技术 ,在 交换 机 上 全 局 模式 下 运行 
address-bind, 可 以 设置 将 一 个 IP 地 址 和 MAC 地 址 的 绑 定 ,命令 格式 如 下 : 


address-bind ip-address mac-address 
no address-bind ip-address 


这 条 命令 的 指导 思想 是 :如 果 将 一 个 IP 地 址 和 一 个 指定 的 MAC 地 址 绑 定 , 则 当 交 
换 机 收 到 源 IP 地 址 为 这 个 IP 地 址 的 帧 时 , 当 帧 的 源 MAC 地 址 不 为 这 个 IP 地 址 绑 定 的 
MAC 时 ,这 个 帧 将 会 被 交换 机 丢弃 。 


【实验 原理 】 

交换 机 的 IP-MAC 绑 定 功能 是 一 种 非常 严格 的 接 入 控制 机 制 。 当 启用 了 IP-MAC 
绑 定 功能 后 ,交换 机 只 会 接收 符合 预先 配置 的 IP 和 MAC 绑 定 条 目的 报 文 ,否则 将 丢弃 
报 文 ,从 而 防止 用 户 将 非法 或 未 授权 的 设备 接 入 网 络 , 并 且 可 以 防止 用 户 私自 修改 或 使 用 
非法 的 IP 地 址 访问 网 络 资源 。 

【实验 步骤 】 

CD 将 PCI 和 PC2 接 人 到 交换 机 的 FO/1 和 FO/2 端口 ,并 测试 连通 性 ,如 图 2-2 
所 示 。 
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Ping statist 
kets: 


图 2-2 测试 网 络 连通 性 


从 图 2-2 中 可 以 看 出 ,PC1 和 PC2 可 以 相互 ping 通 。 

(2) 配置 PC1 和 PC2 的 IP-MAC 地 址 绑 定 条 目 。 

Switch (config) # address-bind 192.168.1.1 0015.f2dc.96a4 

Switch (config) # address-bind 192.168.1.2 001c.251e.16cc 

qx ) 4.0015. f2dc. 96a4 为 PC1 AY MAC 地 址 ,001c. 251e. 16cc 为 PC2 的 
MAC 地 址 ,在 实际 使 用 中 需要 根据 具体 设备 确定 。 

(3) 启用 IP-MAC 绑 定 功能 。 


Switch (config) # address-bind install 


(4) 验证 测试 。 
在 PC] 上 测试 ,ping PC2 的 地 址 ,如 图 2-3 所 示 。 


Settings Administrator>ping 192.168.1.2 


图 2-3 连接 在 同一 台 交 换 机 的 网 络 连通 性 测试 (1) 


从 图 2-2 中 可 以 看 出 ,由 于 在 交换 机 上 配置 了 PCI 和 PC2 的 IP-MAC 绑 定 条 目 , 所 
以 PC1 发 送 的 ping 请 求 报 文 和 PC2 发 送 的 ping 响应 报 文 可 以 被 接收 ,所 以 PCI 和 PC2 
可 以 ping 通 。 

(5) 将 PC3 接 人 到 Fo/3 端口 。 

在 PCI 和 PC2 上 ping PC3 的 地 址 ,如 图 2-4 所 示 。 

从 图 2-3 中 可 以 看 出 ,由 于 交换 机 上 没有 PC3 的 IP-MAC 绑 定 条 目 , 所 以 PC3 的 
ping 响应 报 文 会 被 丢弃 ,PC1、PC2 无 法 与 PC3 ping 通 。 

(6) 修改 PCI 的 IP 地 址 

将 PC1 AY IP 地 址 修改 为 192. 168. 1. 254 JE. ping PC2 的 地 址 ,如 图 2-5 所 示 。 

从 图 2-5 中 可 以 看 出 ,由 于 PCI 修改 了 自己 的 IP 地址 ,这 样 在 交换 机 中 就 没有 了 相 
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r)ping 192.168.1.3 


B, Lost = 4 (188x loss), 


图 2-4 连接 在 同一 台 交 换 机 的 网 络 连通 性 测试 不 通 (2) 


图 2-5 连接 在 同一 台 交换 机 的 网 络 连 通 性 测试 不 通 (3) 


对 应 的 IP-MAC 绑 定 条 目 . 所 以 PCI 发 送 的 报 文 会 被 丢弃 ,PC1 与 PC2 无 法 ping 通 。 

【备注 事项 】 

由 于 IP-MAC 功能 只 接收 已 在 绑 定 关系 的 报 文 , 所 以 所 有 的 ARP 请 求 报 文 都 
会 被 丢弃 。 为 了 使 符合 IP-MAC 绑 定 关系 的 设备 能 够 正常 通信 ,需要 在 这 些 设备 上 已 经 
存在 到 达 目 的 地 或 网 关 的 ARP 解析 条 目 。 

【参考 配置 】 


Switch# show running-config 


Building configuration... 

Current configuration : 1209 bytes 
J 

vlan 1 

! 

1 

interface FastEthernet 0/1 
interface FastEthernet 0/2 


30 


interface FastEthernet 0/3 
H 

interface FastEthernet 0/4 
! 

interface FastEthernet 0/5 
! 

interface FastEthernet 0/6 
Y 

interface FastEthernet 0/7 
a 

interface FastEthernet 0/8 
x 

interface FastEthernet 0/9 
H 

interface FastEthernet 0/10 
H 

interface FastEthernet 0/11 
x 

interface FastEthernet 0/12 
1 

interface FastEthernet 0/13 
! 

interface FastEthernet 0/14 
! 

interface FastEthernet 0/15 
! 

interface FastEthernet 0/16 
L 

interface FastEthernet 0/17 
1 

interface FastEthernet 0/18 
a 

interface FastEthernet 0/19 
H 

interface FastEthernet 0/20 
I 

interface FastEthernet 0/21 
H 

interface FastEthernet 0/22 
y 

interface FastEthernet 0/23 
1 


interface FastEthernet 0/24 


Ag Eee eS mm 
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interface GigabitEthernet 0/25 
1 
interface GigabitEthernet 0/26 
1 
interface GigabitEthernet 0/27 
1 
interface GigabitEthernet 0/28 
1 
address-bind 192.168.1.1 0015.f2dc.96a4 
address-bind 192.168.1.2 001c.251e.16cc 
address-bind install 
! 
! 
! 
1 
line con 0 
line vty 0 4 
login 
! 
1 


End 


2.2 使 用 端口 安全 提高 接 入 安全 


【实验 名 称 】 

使 用 端口 安全 提高 接 入 安全 。 

【实验 目的 】 

使 用 交换 机 的 端口 安全 功能 增强 接 入 层 网 络 安全 性 。 

【背景 描述 】 

某 企业 的 网 络 管理 员 发 现 经 常 有 员工 私自 将 自己 的 笔记 本 式 计算 机 接 入 到 网 络 中 ， 
而 且 有 些 员工 通过 使 用 HUB 将 多 个 网 络 设备 接 入 到 交换 机 端口 上 ,给 网 络 管理 和 维护 
增加 了 难度 。 

【需求 分 析 】 

对 于 网 络 中 出 现 的 这 种 问题 ,需要 防止 用 户 接 入 非法 或 未 授权 的 设备 ,并 且 限 制 用 户 
将 多 个 网 络 设备 接 入 到 交换 机 的 端口 。 交 换 机 的 端口 安全 特性 可 以 满足 这 个 要 求 , 提 高 
接 入 层 网 络 的 安全 性 。 


【实验 拓扑 】 
图 2-6 所 示 的 网 络 拓扑 ,是 某 公 司 局 域 网 中 的 拓扑 规划 图 ,希望 实现 局 域 网 中 使 用 交 
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换 机 的 端口 安全 技术 ,防止 用 户 接 入 非法 或 未 授权 的 设备 ,并 且 限 制 用 户 将 多 个 网 络 设备 
接 入 到 交换 机 的 端口 ,增强 网 络 接 入 的 安全 控制 功能 。 
PCI PC2 


* oO ^ 


192.168.1.1/24 Jj 192.168.1.2/24 
pue 


192.168.1.3/24 5 PC3 


图 2-6 交换 机 端口 接 人 安全 拓扑 规划 图 


【实验 设备 】 
交换 机 1 台 ;PC 3 台 


【预备 知识 】 

。 交换 机 转发 原理 。 

。 交换 机 基本 配置 。 

。 端口 安全 原理 。 

大 部 分 网 络 攻 击 行为 都 采用 欺骗 源 IP 或 源 MAC 地 址 的 方法 ,对 网 络 的 核心 设备 进 
行 连续 的 数据 包 的 攻击 ,从 而 耗 尽 网 络 核心 设备 系统 资源 的 目的 ,如 典型 的 ARP 攻击 、 
MAC 攻击 和 DHCP 攻击 等 。 这 些 针 对 交换 机 的 端口 产生 的 攻击 行为 ,可 以 启用 交换 机 
的 端口 安全 功能 特性 来 防范 。 通 过 在 交换 机 的 某 个 端口 上 配置 限制 访问 的 MAC 地址 以 
Be IP( 可 选 ) ,可 以 控制 该 端口 上 的 数据 安全 输入 。 

当 交 换 机 的 端口 配置 安全 端口 功能 :设置 来 自 于 某 些 源 地 址 的 数据 是 合法 数据 后 , 打 
开交 换 机 的 端口 安全 功能 ,除了 源 地 址 为 这 些 安全 地 址 的 包 外 ,这 个 端口 将 不 转发 其 他 任 
何 包 。 为 了 增强 网 络 的 安全 性 ,还 可 以 将 MAC 地 址 和 IP 地 址 绑 定 起 来 ,作为 安全 接 人 
的 地 址 ,实施 更 为 严格 的 访问 限制 。 当 然 , 也 可 以 只 绑 定 其 中 的 一 个 地 址 ,如 只 绑 定 
MAC 地 址 而 不 绑 定 IP 地 址 ,或 相反 。 

交换 机 的 端口 安全 功能 还 表现 在 ,可 以 限制 一 个 端口 上 能 连接 安全 地 址 的 最 大 个 数 。 
如 果 一 个 端口 被 配置 为 安全 端口 .配置 有 最 大 的 安全 地 址 的 连接 数量 , 当 其 上 连接 的 安全 
地 址 的 数目 达到 允许 的 最 大 个 数 , 或 该 端口 收 到 一 个 源 地 址 不 属于 该 端口 上 的 安全 地 址 
时 ,交换 机 将 产生 一 个 安全 违例 通知 。 

交换 机 的 端口 安全 违例 产生 后 ,可 以 选择 多 种 方式 来 处 理 违例 ,如 丢弃 接收 到 的 数据 
Mi 发送 违例 通知 或 关闭 相应 端口 等 。 如 果 将 交换 机 上 某 个 端口 上 最 大 个 数 设置 为 1, 并 
且 为 该 端口 只 配置 了 一 个 安全 地 址 时 , 则 连接 到 这 个 端口 上 的 工作 站 (其 地 址 为 配置 的 安 
全 地 址 ) 将 独 享 该 端口 的 全 部 带宽 。 

最 常见 的 对 交换 机 端口 安全 的 理解 ,就 是 根据 交换 机 端口 上 连接 设备 的 MAC 地 址 ， 
实施 对 网 络 流量 的 控制 和 管理 ,例如 限制 具体 端口 上 通过 的 MAC 地 址 的 最 大 连接 数量 ， 
这 样 一 来 ,可 以 限制 终端 用 户 ,非法 使 用 集线器 等 简单 的 网 络 互联 设备 ,来 随意 性 扩展 企 

33 


mmm 第 2 章 端口 保护 安全 m 


业内 部 网 络 的 连接 数量 ,造成 网 络 中 流量 的 不 可 控制 。 

当 交换 机 端口 上 所 连接 的 安全 地 址 的 数目 达到 允许 的 最 大 个 数 ,交换 机 将 产生 一 个 
安全 违例 通知 。 当 安全 违例 产生 后 ,可 以 设置 交换 机 ,针对 不 同 的 网 络 安全 需求 ,采用 不 
同 的 安全 违例 的 处 理 模式 :Protect( 当 所 连接 的 端口 通过 的 安全 地 址 达到 最 大 的 安全 地 
址 个 数 后 ,安全 端口 将 丢弃 其 余 的 未 知名 地 址 数据 包 )、RestrictTrap( 当 安全 端口 产生 违 
例 事件 后 ,将 发 送 一 个 Trap 通知 ,等 候 处 理 ) 和 Shutdown( 当 安全 端口 产生 违例 事件 后 ， 
将 关闭 端口 ,同时 还 发 送 一 个 Trap 通知 )。 

对 交换 机 端口 安全 的 实施 ,还 可 以 根据 MAC 地 址 限制 来 进行 网 络 管理 ,实施 网 络 安 
全 ,例如 把 接 入 主机 的 MAC 地 址 与 交换 机 相连 的 端口 绑 定 。 通 过 在 交换 机 的 指定 端口 
上 限制 带 有 某 些 接 人 设备 的 MAC 地 址 帧 流量 通过 ,从 而 实现 对 网 络 的 安全 控制 访问 
目的 。 

当 连 接 主机 的 MAC 地 址 与 交换 机 连接 端口 绑 定 后 ,如 果 交 换 机 发 现 主机 的 MAC 
地 址 与 交换 机 上 配置 的 MAC 地 址 不 同时 ,交换 机 相应 的 端口 也 将 执行 相应 违例 措施 ,如 
连接 端口 Down fi, 

如 果 需 要 在 交换 机 上 配置 端口 的 进行 安全 地 址 的 绑 定 操作 ,从 特权 模式 开始 ,可 以 通 
过 以 下 步骤 手工 配置 一 个 安全 端口 上 的 绑 定 的 安全 地 址 。 


switchport port-security ! 打开 接口 的 端口 安全 功能 
switchport port-security maximum value 

! 设置 接口 上 安全 地 址 的 最 大 个 数 , 范 围 是 1 一 128, 默 认 值 为 128 
Switchport port-security violation {protect | restrict | shutdown} 

! 设置 接口 违例 的 方式 , 当 接口 因为 违例 而 被 关闭 后 选择 的 方式 
Switchport port-security mac-address mac-address [ip-address ip-address] 

! 手工 配置 接口 上 的 安全 地 址 
switchport port-security mac-address 00-90-F5-10-79-C1 

! 配置 端口 的 安全 Mac 地 址 


Switchport port-security maximum 1 ! 限制 此 端口 允许 通过 MAC 地 址 数 为 1 
Switchport port- security violation shutdown ! 当 配 置 不 符 时 端口 down 掉 
Show port- security address ! 验证 配置 
No switchport port-security mac-address mac-address ! 删除 该 接口 安全 地 址 
No swithcport port-security 1! 关闭 一 个 接口 的 端口 安全 功能 
No switchport port-security maximum ! 恢复 交换 机 端口 默认 连接 地 址 个 数 
No switchport port-security violation ! 将 违例 处 理 置 为 默认 模式 
【实验 原理 】 


交换 机 的 端口 安全 特性 可 以 只 允许 特定 MAC 地 址 的 设备 接 入 到 网 络 中 ,从 而 防止 
用 户 将 非法 或 未 授权 的 设备 接 入 网 络 , 并 且 可 以 限制 端口 接 入 的 设备 数量 ,防止 用 户 将 过 
多 的 设备 接 入 到 网 络 中 。 


【实验 步骤 】 
(1) 启用 端口 安全 特性 。 
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Switch# configure 
Switch (config)# interface fastEthernet 0/1 
Switch (config if)#switchport port-security 


(2) 手工 配置 PC1 的 MAC 地 址 为 安全 MAC 地 址 。 

Switch (config if)#switchport port-security mac-address 0001.0001.0001 

(3) 配置 端口 最 多 允许 一 个 安全 MAC 地 址 , 即 保证 只 有 PCL 可 以 接 人 到 此 端口 。 

Switch (config-if)# switchport port-security maximum 1 

(4) 配置 当 产生 地 址 违规 时 关闭 端口 。 

Switch (Config-if)# switchport port-security violation shutdown 

(5) 验证 测试 。 

将 PC1 BEA F0/1 接口 ,PC1 与 PC2 之 间 可 以 互相 ping i. 

(6) 验证 测试 。 

将 PC3 接 人 到 FO/1 接口 ,并 且 设置 其 IP 地 址 为 192. 168. 1.3。 在 PC3 上 ping PC2 
的 IP 地 址 ,无 法 ping 通 ,而 且 交换 机 提示 如 下 信息 ,出 现 端口 违规 ,端口 被 关闭 。 

Nov 9 02:01:47 Switch % 7:Interface FastEthernet 0/1 violation occur. 

Nov 9 02:01:50 Switch % 7:% LINK CHANGED: Interface FastEthernet 0/1, changed state to down 

Nov 9 02:01:50 Switch $ 7:% LINE PROTOCOL CHANGE: Interface FastEthernet 0/1, changed state 

to DOWN 

由 于 PC3 的 MAC 地 址 不 是 所 配置 的 安全 地 址 (PC1 的 MAC 地 址 ) ,而 且 由 于 端口 
最 多 允许 一 个 安全 MAC 地 址 ,所 以 当 端口 收 到 PC3 发 送 的 数据 帧 时 ,产生 了 端口 违规 现 
象 ,端口 被 关闭 。 


【注意 事项 】 
。 配置 安全 端口 之 前 必须 使 用 命令 switchport mode access 将 端口 设置 为 Access 
端口 。 


。 当 端 口 由 于 违规 被 关闭 时 ,可 以 在 全 局 模式 下 使 用 errdisable recovery 命令 将 其 
恢复 到 UP 状态 。 
* 在 配置 安全 MAC 地 址 实验 中 ,使 用 PCI 主机 网 卡 的 真实 MAC 地 址 。 


【参考 配置 】 


Switch# show running config 


Building configuration... 

Current configuration : 1286 bytes 
1 

hostname Switch 
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interface FastEthernet 0/1 
switchport port-security mac-address 0001.0001.0001 
switchport port-security maximum 1 
switchport port-security violation shutdown 
switchport port-security 

! 

interface FastEthernet 0/2 

a 

interface FastEthernet 0/3 

L| 

interface FastEthernet 0/4 

和 

interface FastEthernet 0/5 

interface FastEthernet 0/6 

? 

interface FastEthernet 0/7 

1 

interface FastEthernet 0/8 

! 

interface FastEthernet 0/9 

! 

interface FastEthernet 0/10 

! 

interface FastEthernet 0/11 

H 

interface FastEthernet 0/12 

H 

interface FastEthernet 0/13 

a 

interface FastEthernet 0/14 

H 

interface FastEthernet 0/15 

i 

interface FastEthernet 0/16 

H 

interface FastEthernet 0/17 

H 

interface FastEthernet 0/18 

1 


interface FastEthernet 0/19 
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interface FastEthernet 0/20 
1 
interface FastEthernet 0/21 
1 
interface FastEthernet 0/22 
1 
interface FastEthernet 0/23 
1 
interface FastEthernet 0/24 
i 
interface GigabitEthernet 0/25 
L 
interface GigabitEthernet 0/26 
L 
interface GigabitEthernet 0/27 
1 
interface GigabitEthernet 0/28 
! 
! 
line con 0 
line vty 04 
login 


end 


2.3 ARP 攻击 与 防御 (ARP 检查 ) 


【实验 名 称 】 

ARP 攻击 与 防御 (ARP 检查 )。 

【实验 目的 】 

使 用 交换 机 的 ARP 检查 功能 防止 ARP 欺骗 攻击 。 

【背景 描述 】 

某 企 业 的 网 络 管理 员 发 现 最 近 经 常 有 员工 抱怨 无 法 访问 互联 网 ,经 过 故障 排查 后 ,发 
现 客户 端 PC 上 缓存 的 网 关 的 ARP 绑 定 条 目 是 错误 的 ,从 此 现象 可 以 判断 出 网 络 中 可 能 
出 现 了 ARP 欺骗 攻击 ,导致 客户 端 PC 不 能 获取 正确 的 ARP 条 目 , 以 致 不 能 访问 外 部 
网 络 。 

【需求 分 析 】 

ARP 欺骗 攻击 是 目前 内 部 网 络 出 现 的 最 频繁 的 一 种 攻击 。 对 于 这 种 攻击 ,需要 检查 
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网 络 中 ARP 报 文 的 合法 性 。 交 换 机 的 ARP 检查 功能 可 以 满足 这 个 要 求 ,防止 ARP 欺 
骗 攻 击 。 


【实验 拓扑 】 

图 2-7 是 某 公司 局 域 网 中 的 拓扑 规划 图 ,希望 实现 局 域 网 中 使 用 交换 机 的 端口 实施 
ARP 检查 安全 技术 ,保护 用 户 客户 端 接 入 PC, 能 获取 正确 的 ARP 条 目 ,增强 网 络 接 入 的 
安全 控制 功能 。 


Attacker 
1P: 172.16.1.64 
MAC: 0008.0DF9.4C64 


FO/I 


F0/3 
Gateway 


F0/2 IP: 172.16.1.1 


MAC: 00D0.F8A5.56B8 
IP: 172.16.1.2 
MAC: 0016.D393.22C6 


PC 
图 2-7 交换 机 端口 实施 ARP 检查 安全 技术 


【实验 设备 】 
交换 机 1 台 ;PC 2 台 , 其 中 一 个 需要 安装 ARP 欺骗 攻击 工具 WinArpSpoofer( 测 试 
用 ); 路 由 器 1 台 ( 作 为 网 关 ) 。 


【预备 知识 

。 交换 机 转发 原理 。 
。 交换 机 基本 配置 。 
* ARP 检查 原理 。 

在 局 域 网 中 ,网 络 中 实际 传输 的 是 “ 帧 ”, 帧 里 面 是 有 目标 主机 的 MAC 地 址 。 在 以 太 
网 中 ,一 个 主机 和 另 一 个 主机 进行 直接 通信 ,必须 要 知道 目标 主机 的 MAC 地 址 。 但 这 个 
目标 MAC 地 址 是 如 何 获得 的 呢 ? 它 就 是 通过 地 址 解析 协议 获得 的 。 所 谓 “ 地 址 解析 ”， 
就 是 主机 在 发 送 帧 前 将 目标 IP 地 址 转换 成 目标 MAC 地 址 的 过 程 。ARP (Address 
Resolution Protocol, 地 址 解析 协议 ) 的 基本 功能 就 是 通过 目标 设备 的 IP 地 址 ,查询 目标 
设备 的 MAC 地 址 ,以 保证 通信 的 顺利 进行 。 

ARP 检查 的 原理 就 是 :首先 ,每 台 主 机 都 会 在 自己 的 ARP 缓冲 区 中 建立 一 个 ARP 
列表 ,以 表示 IP 地 址 和 MAC 地 址 的 对 应 关系 。 当 源 主机 需要 将 一 个 数据 包 发 送 到 目的 
主机 时 ,会 首先 检查 自己 ARP 列表 中 是 否 存在 该 IP 地 址 对 应 的 MAC 地 址 ,如 果 有 ,就 
直接 将 数据 包 发 送 到 这 个 MAC 地 址 ;如 果 没 有 ,就 向 本 地 网 段 发 起 一 个 ARP 请 求 的 广 
播 包 ,查询 此 目的 主机 对 应 的 MAC 地 址 。 此 ARP 请 求 数 据 包 里 包括 源 主机 的 IP 地 址 、 
硬件 地 址 以 及 目的 主机 的 IP 地 址 。 网 络 中 所 有 的 主机 收 到 这 个 ARP 请 求 后 ,会 检查 数 
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据 包 中 的 目的 IP 是 否 和 自己 的 IP 地 址 一 致 。 如 果 不 相同 ,就 忽略 此 数据 包 ; 如 果 相 同 ， 
该 主机 首先 将 发 送 端的 MAC 地 址 和 TP 地 址 添加 到 自己 的 ARP 列表 中 ,如 果 ARP 表 中 
已 经 存在 该 IP 的 信息 , 则 将 其 覆盖 ,然后 给 源 主 机 发 送 一 个 ARP 响应 数据 包 , 告 诉 对 方 
自己 是 它 需要 查找 的 MAC 地 址 。 源 主机 收 到 这 个 ARP 响应 数据 包 后 ,将 得 到 的 目的 主 
机 的 IP 地址 和 MAC 地 址 添加 到 自己 的 ARP 列表 中 ,并 利用 此 信息 开始 数据 的 传输 。 
如 果 源 主机 一 直 没 有 收 到 ARP 响应 数据 包 ,表示 ARP 查询 失败 。 

。 ARP 欺骗 原理 。 

局 域 网 中 此 起 彼 伏 的 瞬间 掉 线 或 大 面积 的 断 网 ,大 都 是 ARP 欺骗 在 作怪 。 从 影响 
网 络 连接 通畅 的 方式 来 看 ,ARP 欺骗 分 为 两 种 :一 种 是 对 路 由 器 ARP 表 的 欺骗 ; 另 一 种 
是 对 内 网 PC 的 网 关 欺骗 。 

第 一 种 ARP 欺骗 的 原理 是 一 一 截获 网 关 数 据 。 它 通知 路 由 器 一 系列 错误 的 内 网 MAC 
地 址 ,并 按照 一 定 的 频率 不 断 进行 ,使 真实 的 地 址 信息 无 法 通过 更 新 保存 在 路 由 器 中 ,结果 
路 由 器 的 所 有 数据 只 能 发 送 给 错误 的 MAC 地 址 ,造成 正常 PC 无 法 收 到 信息 。 第 二 种 ARP 
欺骗 的 原理 是 一 一 伪造 网 关 。 它 的 原理 是 建立 假 网 关 , 让 被 它 欺骗 的 PC 向 假 网 关 发 数据 ， 
而 不 是 通过 正常 的 路 由 器 途径 上 网 。 在 PC 看 来 .就 是 上 不 了 网 了 ,“ 网 络 掉 线 了 ”。 

以 主机 A(192.168.16.1) 向 主机 B(192. 168. 16. 2) 发 送 数据 为 例 。 当 发 送 数据 时 ， 
主机 A 会 在 自己 的 ARP 缓存 表 中 寻找 是 否 有 目标 IP 地 址 。 如 果 找 到 了 ,也 就 知道 了 目 
标 MAC 地 址 ,直接 把 目标 MAC 地 址 写 入 帧 里 面 发 送 就 可 以 了 ;如 果 在 ARP 缓存 表 中 
没有 找到 相对 应 的 IP 地 址 ,主机 A 就 会 在 网 络 上 发 送 一 个 广播 。 目 标 MAC 地 址 是 FF. 
FF.FF.FF.FF.FF, 这 表示 向 同一 网 段 内 的 所 有 主机 发 出 这 样 的 询问 : “192. 168. 16. 2 的 
MAC 地 址 是 什么 ?” 网 络 上 其 他 主机 并 不 响应 ARP 询问 ,只 有 主机 B 接收 到 这 个 帧 时 ， 
才 向 主机 A 做 出 这 样 的 回应 :“192. 168. 16. 2 的 MAC 地 址 是 bb-bb-bb-bb-bb-bb。” 这 
样 ,主机 A 就 知道 了 主机 BAY MAC 地 址 , 它 就 可 以 向 主机 B 发 送信 息 了 。 同 时 , 它 还 更 
新 了 自己 的 ARP 缓存 表 , 下 次 再 向 主机 B 发 送信 息 时 ,直接 从 ARP 缓存 表 里 查 找 就 可 
VAT. ARP 缓存 表 采 用 了 老化 机 制 ,在 一 段 时 间 内 如 果 表 中 的 某 一 行 没有 使 用 ,就 会 被 
删除 ,这样 可 以 大 大 减少 ARP 缓存 表 的 长 度 , 加 快 查询 速度 。 

从 上 面 的 内 容 可 以 看 出 ,ARP 协议 的 基础 就 是 信任 局 域 网 内 所 有 的 人 ,那么 就 很 容 
易 实 现在 以 太 网 上 的 ARP 欺骗 。 对 目标 主机 A 进行 欺骗 ,主机 A 去 ping 主机 C, 信 息 
通过 广播 方式 首先 发 送 到 主机 DD 的 DD-DD-DD-DD-DD-DD 地 址 上 。 如 果 进 行 欺骗 的 时 
候 , 把 主机 C 的 MAC 地 址 骗 为 主机 D 的 DD-DD-DD-DD-DD-DD. 于 是 主机 A 发 送 到 主 
PLC 上 的 数据 包 都 变 成 发 送 给 主机 D 了 。 这 不 正好 是 主机 D 能 够 接收 到 A 发 送 的 数据 
TA , 嗅 探 成 功 。 

主机 A 对 这 个 变化 一 点 都 没有 意识 到 ,但 是 接 下 来 的 事情 就 让 主机 A 产生 了 怀疑 。 
因为 主机 A 和 主机 C 连接 不 上 ,主机 D 对 接收 到 主机 A 发 送 给 主机 C 的 数据 包 没有 转 
交 给 主机 C。 做 man in the middle, 进 行 ARP 重 定向 。 打 开 主 机 DD AY IP 转发 功能 ,主机 
A 发 送 过 来 的 数据 包 转 发 给 主机 C, 好 比 一 个 路 由 器 一 样 。 不 过 ,假如 主机 D 发 送 ICMP 
重 定向 的 话 , 就 中 断 了 整个 计划 。 

主机 D 直接 进行 整个 包 的 修改 转发 ,捕获 到 主机 A 发 送 给 主机 C 的 数据 包 , 全 部 进行 修 

39 


改 后 再 转发 给 主机 C, 而 主机 C 接收 到 的 数据 包 完全 认为 是 从 主机 A 发 送 来 的 。 不 过 ,主机 C 
发 送 的 数据 包 又 直接 传递 给 主机 A, 倘 若 再 次 进行 对 主机 C 的 ARP 欺骗 。 现 在 主机 D 就 完全 
成 为 主机 A 与 主机 C 之 间 的 桥梁 了 ,对 于 主机 A 和 主机 C 之 间 的 通信 就 可 以 了 如 指 掌 。 

【实验 原理 】 

交换 机 的 ARP 检查 功能 可 以 检查 端口 收 到 的 ARP 报 文 的 合法 性 ,并 可 以 丢弃 非法 
的 ARP 报 文 ,防止 ARP 欺骗 攻击 。 

【实验 步骤 】 

(1) 配置 IP 地 址 ,测试 网 络 连通 性 。 

按照 图 2-7 所 示 拓 扑 图 正确 配置 PC 攻击 机 、 路 由 器 的 IP 地 址 ,使 用 ping 命令 验证 


设备 之 间 的 连通 性 ,保证 可 以 互通 。 查 看 PC 本 地 的 ARP 缓存 ,ARP 表 中 存 有 正确 的 网 
X IP 与 MAC 地 址 绑 定 , 如 图 2-8 所 示 。 


图 2-8 查询 ARP 表 中 的 网 关 绑 定 


(2) 在 攻击 机 上 运行 WinArpSpoofer 软件 后 ,界面 显示 如 图 2-9 所 示 


[= Untitled -WinarpSpoof v0.53 


loj x) 
E] gm 
Yd pe UT — a mmm 
[inier | spoofing | 
Select a Network Device 


Adapter: intek®) PRO}100 VE Network Connecti 


n- BEME 
TP Adéress 17216164 
Subnet Mask: 255.255.255.0 
Defaut Gateway: 172.16.1.1 
MAC Address: OFSA 
IW MAC Address: 00009155688 
m 
EA] 
a 
Ready 


图 2-9 攻击 机 上 运行 WinArpSpoofer 软件 
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在 Adapter 选项 卡 中 ,选择 正确 的 网 卡 后 ,WinArpSpoofer 会 显示 网 卡 的 IP deht, HE 
码 、 网 关 、MAC 地 址 以 及 网 关 的 MAC 地 址 信息 。 
(3) 在 WinArpSpoofer 界面 中 选择 Spoofing 选项 卡 , 界 面 如 图 2-10 Pra. 


2-10 WinArpSpoofer 软件 的 Spoofing 选项 卡 


在 Spoofing 选项 卡 中 ,取消 对 Act as a Router(or Gateway) while spoofing. 复 选 框 
的 勾 选 。 如 果 选 中 ,软件 还 将 进行 ARP 中 间 人 攻击 。 配 置 完毕 后 , 单 击 OK 按钮 。 

(4) 使 用 WinArpSpoofer 进行 扫描 。 

单 击 工具 栏 中 的 Scan 按钮 ,软件 将 会 扫描 网 络 中 的 主机 ,并 获取 其 IP 地 址 、MAC 地 
址 等 信息 ,如 图 2-11 所 示 。 


2-11 WinArpSpoofer 软件 扫描 网 络 中 的 主机 


mmm | oo 
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(5) 进行 ARP 欺骗 。 
单 击 工具 栏 中 的 Start 按钮 ,软件 将 进行 ARP 欺骗 攻击 ,如 图 2-12 Bras 


al 


M 1721612 RUDIE-FANGY 00-16-03-93-22-C6 Block o 
M 172.16.1.1 172.16.1.1 00-D0-F8-A5-56-88 Gateway 0 
回 172.16.1.64 NOTEBOOK2 00-08-00-F9-4C-64 This 0 


{11/09/07 16: 
[11/09/07 16:38:40] Start spoofing! 
[11/09/07 16:38:40] IP-forwarding is off. 


Ready ee ed ee 4 
图 2-12 WinArpSpoofer 进行 ARP 欺骗 攻击 


(6) 验证 测试 。 

通过 使 用 Ethereal 捕获 攻击 机 发 出 的 报 文 , 可 以 看 出 攻击 机 发 送 了 经 过 伪造 的 ARP 
应 答 (Reply) 报 文 ,目的 MAC 地 址 为 PC 的 MAC 地 址 (0016. D393. 22C6) 。 攻 击 者 “ 声 
称 ” 网 关 (IP 地 址 为 172. 16. 1. 1) 的 MAC 地 址 为 自己 的 MAC 地 址 (0008. ODF9. 4C64)， 
并 “声称 ”自己 (IP 地 址 为 172. 16. 1. 64) 的 MAC 地 址 为 网 关 的 MAC 地 址 (00D0. F8A5. 
56B8) ,如 图 2-13 所 示 。 


1 0.000000 


3 1.000222 
4 1.000480 
5 2.001408 
6 2.001672 


Toshiba. f 


[s Frame 2 (64 bytes on wire, 64 bytes capture 


|; Ethernet II, Src: Toshiba f9:4c:64 (00:08:0d:f9:4c:64), Dst: wistron 93:22:c6 (00:16:d3:93:22:c6)| 
5 Address Resolution Protocol| (reply) 
Hardware type: Ethernet (0x000 


Protocol type: IP (0x0800) 
Hardware size: 6 

Protocol size: 4 

Opcode: reply (0x0002) 
Sender MAC address: Toshiba f9:4c:&4[C 


Target Mac address: wistron 93:22:c6 (| 
Target IP address: 0.0.172.16 (0.0.172.16) 


图 2-13 Ethereal 捕获 攻击 机 发 出 报 文 
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C 验证 测试 。 

使 用 PC ping 网 关 的 地 址 ,发现 无 法 ping 通 。 查 看 PC AY ARP 缓存 ,可 以 看 到 PC 
收 到 了 伪造 的 ARP 应 答 报 文 后 ,更 新 了 ARP 表 , 表 中 的 条 目 为 错误 的 绑 定 , 即 网 关 的 IP 
地 址 与 攻击 机 的 MAC 地 址 进行 了 绑 定 , 如 图 2-14 所 示 。 


C: WINDOWS system32 cmd ese. 


图 2-14 伪造 ARP 应 答 报 文 更 新 ARP X 


(8) 配置 ARP 检查 。 

在 交换 机 连接 攻击 者 PC 的 端口 上 启用 ARP 检查 功能 ,防止 ARP 欺骗 攻击 。 
Switch# configure 

Switch (config)#Port -security arp-check 

Switch (config) # interface fastEthernet 0/1 

Switch (config-if) # switchport port-security 


Switch (config-if) # switchport port-security mac-address 0008.0df9.4c64 ipaddress 172.16.1. 
64 ! 将 攻击 者 的 Mac 地 址 与 其 真实 的 IP 地 址 绑 定 


(9) 验证 测试 

启用 了 ARP 检查 功能 后 , 当 交 换 机 端口 收 到 非法 ARP 报 文 后 ,会 将 其 丢弃 。 这 时 
在 PC 上 查看 ARP 缓存 ,发 现 ARP 表 中 的 条 目 是 正确 的 ,并 且 PC 可 以 ping 通 网 关 , 如 
图 2-15 所 示 。 


图 2-15 正确 ARP 表 条 目 可 以 ping 通 网 关 
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注意 ,由 于 PC 之 前 缓存 了 错误 的 ARP 条 目 , 所 以 需要 等 到 错误 条 目 超时 或 使 用 


arp-d 命令 进行 手动 删除 之 后 ,PC 才能 解析 出 正确 的 网 关 MAC 地 址 。 


【注意 事项 】 
WinArpSpoofer 软件 仅 可 用 于 实验 。 


【参考 配置 】 


Switch# show running-config 


Building configuration... 

Current configuration : 216 bytes 

: 

version 1.0 

H 

hostname Switch 

vlan 1 

! 

port-security arp-check 

interface fastEthernet 0/1 
switchport port-security 
switchport port-security mac-address 0008.0df9.4c64 ipaddress 172.16.1.64 

! 


end 


2.44 ”使 用 保护 端口 实现 安全 隔离 


【实验 名 称 】 

使 用 保护 端口 实现 安全 隔离 。 

【实验 目的 】 

使 用 交换 机 的 保护 端口 功能 对 端口 流量 进行 控制 。 


【背景 描述 】 
某 网 络 中 ,有 两 台 服务 器 属于 同一 个 VLAN 中 ,并 且 接 人 到 了 一 台 交 换 机 上 。 为 了 


安全 起 见 , 需 要 防止 这 两 台 服务 器 之 间 进 行 通信 。 


【需求 分 析 】 
对 于 这 种 需求 ,需要 在 交换 机 上 隔离 端口 之 间 的 通信 ,交换 机 的 保护 端口 特性 可 以 满 


足 这 个 要 求 。 


【实验 拓扑 】 
图 2-16 所 示 的 网 络 拓扑 ,是 某 局 域 网 中 的 拓扑 规划 图 ,希望 实现 局 域 网 中 两 台 服务 


2.4 使 用 保护 端口 实现 安全 隔离 。 mm 


器 安全 检查 技术 ,保护 同一 台 交 换 机 上 同一 个 VLAN 中 两 台 服 务 器 的 安全 ,防止 这 两 台 
服务 器 之 间 进 行 通信 ,增强 网 络 服 务 器 的 安全 访问 控制 功能 。 


PCI PC2 
LA F0/1 Qe $, 
192,168.1.1/24 F0/3 192.168.1.2/24 
VLANIO VLANIO 
192.168.1.3/24 PC3 


VLANIO 


图 2-16 保护 同一 个 VLAN 中 两 台 服 务 器 的 安全 访问 控制 


【实验 设备 】 
交换 机 1 台 ;PC 3 台 。 


【预备 知识 】 

。 交换 机 转发 原理 。 

局 域 网 交换 技术 是 作为 对 共享 式 局 域 网 ,提供 有 效 的 网 段 划分 的 解决 方案 而 出 现 的 ， 
它 可 以 使 每 个 用 户 尽 可 能 地 分 享 到 最 大 带宽 。 

交换 技术 是 在 OSI 七 层 网 络 模 型 中 的 第 二 层 , 即 数据 链 路 层 进行 操作 ,因此 交换 机 
对 数据 包 的 转发 ,建立 在 MAC 地 址 一 一 物理 地 址 基础 之 上 。 对 于 IP 网 络 协议 来 说 , 它 
是 透明 的 , 即 交 换 机 在 转发 数据 包 时 ,不 知道 也 无 须知 道 信 源 机 和 信和 宿 机 IP. 地 址 ,只 需 知 
道 其 物理 地 址 , 即 MAC 地 址 。 

交换 机 在 操作 过 程 当中 ,会 不 断 收集 资料 去 建立 它 本 身 的 一 个 地 址 表 , 这 个 表 相当 简 
单 , 它 只 说 明了 某 个 MAC 地 址 是 在 哪个 端口 上 被 发 现 。 所 以 当 交 换 机 收 到 一 个 TCP/IP 
封包 时 , 它 便 会 看 一 下 该 数据 包 的 目的 MAC 地 址 ,核对 一 下 自己 的 地 址 表 , 以 确认 应 该 
从 哪个 端口 把 数据 包 发 出 去 。 

由 于 这 个 过 程 比较 简单 ,加 上 这 一 功能 由 一 和 新 硬件 进行 一 -ASIC(CApplication 
Specific Integrated Circuit) ,因此 速度 相当 快 ,一 般 只 需 几 十 微 秒 ,交换 机 便 可 决定 一 个 
IP 封包 该 往 哪里 送 。 值 得 一 提 的 是 ,万 一 交换 机 收 到 一 个 不 认识 的 封包 ,就 是 说 如 果 目 
的 地 MAC 地 址 不 能 在 地 址 表 中 找到 时 .交换 机 会 把 IP 封包 “广播 ”出 去 , 即 把 它 从 每 一 
个 端口 中 送出 去 ,就 如 交换 机 在 处 理 一 个 收 到 的 广播 封包 时 一 样 。 因 此 , 当 某 个 节点 发 送 
广播 消息 ,能 够 接收 到 这 个 消息 的 所 有 节点 属于 同一 广播 域 .广播 会 带 来 安全 问题 和 网 络 
FH. 

* 交换 机 基本 配置 。 

。 保护 端口 原理 。 

保护 端口 可 以 确保 同一 交换 机 上 的 端口 之 间 不 进行 通信 。 有 些 应 用 环境 下 ,要 求 一 
台 交 换 机 上 的 有 些 端口 之 间 不 能 互相 通信 :保护 端口 不 向 其 他 保护 端口 转发 任何 传输 , 包 
括 单 播 、 多 播 和 广播 包 。 传 输 不 能 在 第 二 层 保 护 端 口 间 进行 ,所 有 保护 端口 间 的 传输 都 必 
须 通 过 第 三 层 设 备 转发 。 
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当 将 某 些 端口 设 为 保护 口 之 后 ,保护 口 之 间 互 相 无 法 通信 ,保护 端口 与 非 保护 端口 间 
的 传输 不 受 任 何 影 响 , 可 以 正常 通信 。 

在 交换 机 上 设置 保护 端口 的 方法 如 下 。 

CD 指定 欲 配置 的 接口 。 


Switch (config) # interface interface id 
(2) 将 接口 配置 为 保护 端口 。 


Switch (config if) # switchport protected 


【实验 原理 】 

保护 端口 是 交换 机 中 的 一 个 基于 端口 的 流量 控制 功能 , 它 可 以 防止 数据 在 端口 之 间 
被 转发 ,也 就 是 阻塞 端口 之 间 的 通信 。 保 护 端口 是 一 个 交换 机 本 地 的 特性 ,相同 交换 机 中 
保护 端口 之 间 无 法 进行 通信 ,但 保护 端口 与 非 保护 端口 之 间 的 通信 将 不 受 影响 。 


【实验 步骤 】 
(1) 创建 并 配置 VLAN. 


Switch# configure 

Switch (config)#vlan 10 

Switch (config vlan)#exit 

Switch (config)# interface range fastEthernet 0/1-3 
Switch (config if)#switchport access vlan 10 
Switch (config if)#end 

Switch# 


(2) 验证 测试 。 

PC1、PC2、PC3 之 间 可 以 互相 ping 通 。 
(3) 配置 保护 端口 。 

将 FO/1 与 FO/2 端口 配置 为 保护 端口 。 


Switch# configure 
Switch (config)# interface range fastEthernet 0/1-2 
Switch (config-if range) # switchport protected 

! 配置 端口 Fo/1 和 端口 F0/2 为 保护 端口 
Switch (config if- range) #end 
Switch# 


(4) 验证 测试 

由 于 F0/1 5j F0/2 配置 为 保护 端口 ,所 以 PCI 与 PC2 之 间 无 法 ping 通 , 如 图 2-17 
所 示 。 
但 PC1 5j PC3, PC2 与 PC3 之 间 , 即 保护 端口 与 非 保护 端口 之 间 可 以 ping 通 , 如 
图 2-18 所 示 。 
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NDocuments and Settings 


Pinging 1 [RM 
Request timed out. 
Request timed out. 
Request timed out. 


Request timed out. 


C:\Documents and Settings 


Pinging 192.168.1.3 with 
Reply fron 192.168. 
R 168 
R 168 
| 168 
tatistic 
Packi 
Approximate 


Ping s for 19 


nt = 4, R 
Minimum = Ons, 


图 2-18 保护 端口 上 


【参考 配置 】 


Switch# show running config 


Building configuration... 


Current configuration : 1261 bytes 


interface FastEthernet 0/1 
switchport access vlan 10 
switchport protected 

$ 

interface FastEthernet 0/2 
switchport access vlan 10 
switchport protected 

! 

interface FastEthernet 0/3 


switchport access vlan 10 


ith 32 bytes of 


ound trip tin 
Maximum 


2.4 


使 用 保护 端口 


Administrator>ping 192.168.1.2 


data: 


= 4 (100% loss), 


Adninistrator>ping 192.168.1.3 


bytes of data: 
ins 
ins 
in 
in 


a 
econds: 
Qns 


eived = 4, Lost 
s in milli 


Ons, 


了 非 保护 


SOJE LL ping 通 
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interface FastEthernet 0/4 

! 

interface FastEthernet 0/5 

! 

interface FastEthernet 0/6 

! 

interface FastEthernet 0/7 

a 

interface FastEthernet 0/8 

J 

interface FastEthernet 0/9 
" 

interface FastEthernet 0/10 
L| 

interface FastEthernet 0/11 
E] 

interface FastEthernet 0/12 
H 

interface FastEthernet 0/13 
! 

interface FastEthernet 0/14 
! 

interface FastEthernet 0/15 
! 

interface FastEthernet 0/16 
L 

interface FastEthernet 0/17 
E 

interface FastEthernet 0/18 
i 

interface FastEthernet 0/19 
L 

interface FastEthernet 0/20 
! 

interface FastEthernet 0/21 
H 

interface FastEthernet 0/22 
3 

interface FastEthernet 0/23 
3 

interface FastEthernet 0/24 
! 


interface GigabitEthernet 0/25 


2.5 使 用 端口 阻塞 进行 流量 控制 


! 
interface GigabitEthernet 0/26 
1 
interface GigabitEthernet 0/27 
! 


interface GigabitEthernet 0/28 
! 
1 
1 
1 
1 


line con 0 
line vty 04 


login 


end 


2.5 ”使 用 端口 阻塞 进行 流量 控制 


【实验 名 称 】 
使 用 端口 阻塞 进行 流量 控制 。 


【实验 目的 】 
使 用 交换 机 的 端口 阻塞 功能 对 端口 流量 进行 控制 。 


【背景 描述 】 

某 企业 网 络 中 最 近 经 常 出 现 大 量 的 数据 泛 洪 现象 ,通过 分 析 ,发 现 很 多 设备 收 到 了 不 
是 发 往 其 自身 的 数据 包 。 对 于 这 种 现象 ,很 可 能 是 网 络 中 有 人 发 起 MAC iz EG. 

【需求 分 析 】 

对 于 网 络 中 出 现 的 大 量 泛 洪 现象 ,可 以 使 用 交换 机 的 端口 阻塞 功能 防止 不 必要 的 数 
据 泛 洪 。 

【实验 拓扑 】 

图 2-19 是 某 企 业 局 域 网 规划 拓扑 ,该 局 域 网 络 中 最 近 经 常 出 现 大 量 的 数据 泛 洪 现 
象 ,希望 实现 交换 机 的 端口 阻塞 功能 ,防止 不 必要 的 数据 泛 洪 ,以 保护 网 络 安全 。 

【实验 设备 】 

交换 机 1 台 ;PC 3 台 (PC1 装 有 Ethereal 或 Sniffer 等 报 文 发 送 工 具 )。 

【预备 知识 

。 交换 机 转发 原理 。 
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PCI PC2 
LS F0/1 i F0/2 LA 
192.168.1.1/24 F03 192.168.1.2/24 
0015.F2DC.9A64 0011.D8B9.74FE. 
VLANIO VLAN10 
PC3 
192.168.1.3/24 
0016.D393.22C6 
VLANIO 


图 2-19 配置 交换 机 端口 阻塞 ,防止 数据 泛 洪 , 实 现 局 域 网 安全 


。 交换 机 基本 配置 。 

* 端口 阻塞 原理 。 

标准 的 交换 机 行为 就 是 将 去 往 未 知 的 目标 MAC 地 址 的 数据 帧 洪 泛 发 出 ,并 且 将 每 
个 到 达 包 的 源 地 址 和 端口 信息 填 人 到 CRM. 表 ( 内 容 寻 址 内 存 表 )。 交 换 机 拥有 一 个 大 小 
固定 的 内 存 空间 ,用 于 存放 学 习 到 的 MAC 地 址 信息 ,交换 机 或 桥 连接 就 是 依靠 这 张 表 来 
实施 转发 .过 滤 以 及 第 二 层 的 学 习 机 制 的 。 

在 默认 情况 下 ,如果 数据 包 具 有 未 知 目标 MAC 地 址 ,那么 交换 机 将 把 它 扩散 到 与 接 
收 端口 VLAN 相同 的 所 有 端口 。 但 通过 使 用 单 播 或 多 播 扩 散 阻塞 的 特性 ,可 以 避免 在 不 
必要 的 端口 上 转发 单 播 扩散 流量 。 通 过 以 每 个 端口 为 基础 而 限制 流量 大 小 ,不 仅 可 以 增 
加 网 络 的 安全 限制 ,而且 还 可 以 防止 网 络 设备 ,徒然 地 处 理 无 定向 数据 包 。 

因此 ,交换 机 的 端口 阻塞 功能 ,可 以 在 特定 端口 上 阻止 广播 ,未知 目 的 MAC 单 播 或 
未 知 目的 MAC 组 播 帧 ,从 这 个 端口 泛 洪 出 去 。 

配置 的 基本 过 程 如 下 。 

(1) 进入 全 局 模式 。 


configure terminal 
(2) 进入 接口 模式 。 

interface 接口 

(3) 配置 其 端口 阻塞 单 播 。 
switchport block unicast 

(4) 配置 其 端口 阻塞 多 播 流 量 。 


switchport block multicast 


【实验 原理 】 
交换 机 的 端口 阻塞 是 指 在 特定 端口 上 ,阻止 广播 .未知 目的 MAC 单 播 或 未 知 目的 
MAC 组 播 帧 从 这 个 端口 泛 洪 出 去 ,这 样 不 仅 节省 了 带宽 资源 ,同时 也 避免 了 终端 设备 收 
到 多 余 的 数据 帧 。 
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2.5 使 用 端口 阻塞 进行 流量 控制 mm 


【实验 步骤 】 
CD 创建 并 配置 VLAN. 


Switch# configure 

Switch (config)#vlan 10 

Switch (config-vlan) # exit 

Switch (config) # interface range fastEthernet 0/1-3 
Switch (config-if) # switchport access vlan 10 
Switch (config-if) #end 

Switch# 


(2) 验证 测试 。 

PC1,PC2,PC3 之 间 可 以 互相 ping 通 。 

(3) 验证 测试 。 

在 图 2-19 中 的 网 络 拓扑 PCI 上 ,使 用 Ethereal 或 Sniffer 等 报 文 发 送 工 具 , 发 送 未 知 
目的 MAC 地 址 的 单 播 帧 (本 实验 假设 是 0001. 0001. 0001) ,在 PC2 与 PC3 上 均 可 以 捕获 
到 报 文 , 原 因 是 交换 机 向 所 有 端口 泛 洪 了 未 知 目的 MAC 地 址 的 帧 。 

在 PC2 5j PC3 上 捕获 的 报 文 ,如 图 2-20 所 示 。 


013637 


20 

3 0.029247 [Malformed Packet] 
4 0.044845 00:1 i : :0 FC [Malformed Packet] 
5 0.061654 — 00:1 :64 00: :01 FC [Malformed Packet] 
6 0.076095 00:1 164 FC [Malformed Packet] 
7 0.001721 ^ 00:15:f2:dc:9a:64 FC [Malformed Packet] 


图 2-20 PC 上 捕获 的 未 知 目的 MAC 地 址 单 播 帧 报 文 


(4) 配置 端口 阻塞 。 
配置 Fo/3 端口 阻塞 未 知 目的 MAC 地 址 的 单 播 帧 。 


Switch# configure 

Switch (config) # interface fastEthernet 0/3 

Switch (config-if)#switchport block unicast ! 配置 FO/3 为 阻塞 端口 
Switch (config if) # end 


(5) 验证 测试 。 
由 于 F0/3 配置 为 阻塞 端口 ,PC1 发 送 的 目的 地 址 为 0001. 0001. 0001 的 帧 只 有 PC2 
可 以 收 到 ,PC3 无 法 收 到 。 


【参考 配置 】 


Switch# show running-config 


Building configuration... 
Current configuration : 270 bytes 
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version 1.0 

L 

hostname Switch 

vlan 1 

! 

vlan 10 

! 

interface fastEthernet 0/1 
switchport access vlan 10 

i 

interface fastEthernet 0/2 
switchport access vlan 10 

i 

interface fastEthernet 0/3 
switchport block unicast 
switchport access vlan 10 

1 


end 


2.6 ”配置 系统 保护 功能 


【实验 名 称 】 
配置 系统 保护 功能 。 


【实验 目的 】 
使 用 交换 机 的 系统 保护 功能 阻止 扫描 攻击 ,保护 交换 机 系统 资源 。 


【背景 描述 】 

某 企 业 网 络 管理 员 发 现 网 络 中 出 现 了 扫描 攻击 。 由 于 扫描 攻击 是 任何 后 续 攻 击 的 第 
一 步 ,为 了 消除 安全 隐患 ,而 且 避 免 由 于 扫描 攻击 给 网 络 设备 (如 交换 机 ?造成 的 资源 消 
耗 ,需要 阻止 扫描 攻击 。 

【需求 分 析 】 

由 于 网 络 中 的 扫描 攻击 导致 的 带宽 浪费 、 系 统 资源 消耗 以 及 安全 问题 等 现象 ,可 以 使 
用 交换 机 的 系统 保护 功能 解决 。 

【实验 拓扑 】 

图 2-21 所 示 网 络 拓扑 :是 某 企 业内 部 局 域 网 络 规划 结构 ,希望 实施 交换 机 的 系统 保 
护 功能 ,解决 由 于 网 络 中 的 扫描 攻击 导致 的 带宽 浪费 .系统 资源 消耗 以 及 安全 问题 。 

【实验 设备 】 

交换 机 1 台 ;PC 2 台 (PC1 装 有 扫描 工具 ) 。 
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PCl — vLANIO VLAN20 PC2 
TAA a 
F0/1 F0/2 
192.168.1.2/24 192.168.2.2/24 


图 2-21 实施 交换 机 系统 保护 解决 网 络 资源 消耗 及 安全 


【预备 知识 】 

。 交换 机 转发 原理 。 

。 交换 机 基本 配置 。 

。 系统 保护 原理 。 

system-guard 是 在 以 太 网 交换 机 上 ,实现 蠕虫 病毒 检测 功能 。 交 换 机 通过 自动 下 发 
ACL 方式 ,使 染 毒 主机 下 线 , 从 而 将 染 毒 主机 与 网 络 隔离 ,保证 网 络 中 的 其 他 主机 不 受 感 
染 , 在 超过 一 定时 间 后 ,交换 机 将 恢复 对 这 个 染 毒 主机 地 址 的 正常 转发 流程 。 

也 就 是 说 ,这 条 命令 限制 了 TCP 并 发 连接 数 , 它 实时 监控 每 一 个 进程 的 并 发 线程 数 
目 , 只 要 超过 了 系统 认为 的 安全 线程 数目 ,就 开始 屏蔽 掉 部 分 线程 。 这 是 为 了 防止 震荡 波 
这 类 的 蠕虫 病毒 ,但 是 bt emule 这 类 多 线程 的 点 对 点 工具 也 一 起 被 同等 对 待 了 。 于 是 ， 
不 开启 system-guard 时 ,蠕虫 病毒 将 导致 设备 死机 ;开启 system-guard 时 ,导致 很 多 用 户 
BT 软件 工作 异常 。 

system-guard 的 配置 包括 :使 能 system-guard 检测 功能 、 设 置 当 前 最 大 可 检测 的 染 
毒 主机 数目 .设置 每 次 地 址 学 习 相 关 参 数 。 

通过 以 下 命令 可 以 使 能 或 禁止 system-guard 检测 功能 。 只 有 使 能 了 system-guard 
检测 功能 后 ,system-guard 的 其 他 配置 才能 生效 。 在 全 局 模式 下 ,配置 system-guard fy 
令 检测 功能 ， 


system-guard enable ! 配置 system guard 检测 功能 

undo system-guard enable ! 禁止 system guard 检测 功能 

默认 情况 下 ,当前 最 大 可 检测 染 毒 主机 的 数目 为 30, 还 可 以 通过 以 下 配置 命令 ,配置 
系统 当前 最 大 可 检测 的 染 毒 主机 数目 。 设置 当 前 最 大 可 检测 染 毒 主机 的 数目 操作 命令 : 


system guard detect-maxnum number ! 设置 当前 最 大 可 检测 的 染 毒 主机 数目 
undo system guard detect-maxnum ! 恢复 最 大 可 检测 染 毒 主机 数目 至 默认 值 


在 默认 情况 下 ,交换 机 禁止 system-guard 检测 功能 ,需要 注意 的 是 : 

(1) 在 使 用 防火 墙 功 能 前 ,请 确保 端口 的 优先 级 配置 处 于 默认 状态 , 即 端 口 的 优先 级 
为 0, 且 交换 机 对 于 报 文中 的 cos 优先 级 不 信任 。 

(2) 在 使 用 防火 墙 功能 后 ,请 不 要 修改 端口 优先 级 配置 ,以 及 系统 的 队列 调度 方式 。 

【实验 原理 】 

交换 机 系统 的 保护 特性 是 一 种 工作 在 物理 端口 的 安全 机 制 , 它 通过 监视 端口 收 到 报 
文 的 速率 判断 是 否 存 在 扫描 攻击 ,并 对 攻击 IP 进行 阻 断 , 保 护 交 换 机 的 系统 资源 。 系 统 
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保护 可 以 识别 两 种 攻击 行为 :目的 IP 地 址 变化 的 扫描 和 针对 网 络 中 不 存在 的 IP 发 送 大 


量 报 文 的 攻击 。 


【实验 步骤 】 
(1) 创建 并 配置 VLAN. 


Switch# configure 


Switch (config)#vlan 10 


Switch (config-vlan) # exit 


Switch (config) #vlan 20 


Switch (config-vlan) # exit 


Switch (config) # interface fastEthernet 0/1 


Switch (config-if) # switchport access vlan 10 


Switch (config-if) )#exit 


Switch (config) # interface fastEthernet 0/2 


Switch (config if) # switchport access vlan 20 


Switch (config-if) # exit 


Switch (config) # interface vlan 10 
Switch (config-if) # ip address 192.168.1.1 255.255.255.0 
Switch (config-if) # exit 


Switch (config) # interface vlan 20 
Switch (config-if) # ip address 192.168.2.1 255.255.255.0 


Switch (config if) # exit 


Switch# 


(2) 验证 测试 。 


PC1 和 PC 


2 之 间 可 以 互相 ping 通 , 如 图 2-22 所 示 。 


Administrator>ping 192.168 


图 2-22 PC 之 间 互 相 ping iÑ 


(3) 配置 系统 保护 。 


Switch# configure 


Switch (config) # interface fastEthernet f0/1 


Switch (config if) # system guard enable 


Switch (config if) # system guard scan-dest-ip-attack packets 100 
! 配置 针对 目的 IP 地 址 变化 扫描 的 检测 阅 值 为 每 秒 100 个 不 同 目 的 IP 的 报 文 
Switch (config if)#system guard isolate-time 600 
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! 配置 隔离 时 间 为 600s 

Switch (config if)#end 

(4) 验证 测试 。 

如 图 2-23 所 示 ,在 PC1 上 使 用 扫描 工具 对 192. 168. 2. 0/24 网 段 的 所 有 IP 地 址 进行 
扫描 。 


2-23 扫描 工具 对 同 网 段 所 有 IP 地 址 扫描 


在 PCL 上 捕获 的 报 文 ,可 以 看 到 PCI 正在 以 大 约 每 秒 100 多 个 报 文 的 速率 进行 扫 
描 , 如 图 2-24 所 示 。 


2-24 扫描 工具 在 PCI 上 捕获 的 报 文 


(5) 验证 测试 。 
在 交换 机 上 可 以 看 到 已 经 检测 出 攻击 ,并 将 IP 地 址 192. 168. 1. 2 隔离 ,并 显示 日 志 
信息 : 


Nov 30 02:54:49 Switch $ 7:ip 192.168.1.2 is isolated !! 
通过 命令 查看 被 隔离 的 IP 地址 及 其 状态 : 


Switch# show system guard isolate ip 
interface ipaddress isolate reason remain time (second) 


Fa0/1 192.168.1.2 scan ip attack 559 


可 以 看 到 隔离 的 原因 为 目的 IP 变化 的 扫描 攻击 ,并且 隔 离 剩余 时 间 为 559s。 


mum bb mm 
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【参考 配置 】 


Switch# show running config 


Building configuration... 
Current configuration : 1505 bytes 


hostname Switch 


interface FastEthernet 0/1 
switchport access vlan 10 
system guard enable 
system guard isolate-time 600 
system guard scan-dest-ip-attack-packets 100 

! 

interface FastEthernet 0/2 
switchport access vlan 20 

H 

interface FastEthernet 0/3 

1 

interface FastEthernet 0/4 

! 

interface FastEthernet 0/5 

3 

interface FastEthernet 0/6 

3 

interface FastEthernet 0/7 

a 

interface FastEthernet 0/8 

和 

interface FastEthernet 0/9 
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! 
interface FastEthernet 0/10 

H 

interface FastEthernet 0/11 

H 

interface FastEthernet 0/12 

1 

interface FastEthernet 0/13 

j 

interface FastEthernet 0/14 

L 

interface FastEthernet 0/15 

H 

interface FastEthernet 0/16 

1 

interface FastEthernet 0/17 

H 

interface FastEthernet 0/18 

H 

interface FastEthernet 0/19 

H 

interface FastEthernet 0/20 

d 

interface FastEthernet 0/21 

! 

interface FastEthernet 0/22 

! 

interface FastEthernet 0/23 

1 

interface FastEthernet 0/24 

! 

interface GigabitEthernet 0/25 
E 

interface GigabitEthernet 0/26 
I 

interface GigabitEthernet 0/27 
1 

interface GigabitEthernet 0/28 
! 


interface VLAN 10 
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ip address 192.168.1.1 255.255.255.0 
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interface VLAN 20 
ip address 192.168.2.1 255.255.255.0 
H 
line con 0 
line vty 0 4 
login 


3 将 
Re 
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【实验 名 称 】 

利用 风暴 控制 抑制 广播 风暴 。 

【实验 目的 】 

使 用 交换 机 的 风暴 控制 功能 对 端口 流量 进行 控制 。 

【背景 描述 】 

某 企 业 网 络 中 最 近 经 常 出 现 大量 的 数据 泛 洪 现象 ,通过 分 析 ,发 现 某 接 人 网络 的 设备 
正在 以 非常 高 的 速率 向 网 络 中 发 送 报 文 ,产生 了 广播 风暴 , 极 大 地 降低 了 网 络 性 能 ,造成 

【需求 分 析 】 

对 于 网 络 中 出 现 的 广播 风暴 现象 ,可 以 使 用 交换 机 的 风暴 控制 功能 ,防止 广播 风暴 的 
产生 。 

【实验 拓扑 】 


图 3-1 是 某 企 业 局 域 网 络 规划 拓扑 ,希望 实施 交换 机 的 风暴 控制 功能 ,防止 广播 风暴 
的 产生 ,提高 网 络 工 作 的 效率 。 


PCI PC2 
F0/1 F0/2 
VLANIO n VLANIO 
192.168.1.1/24 192.168.1.2/24 
0015.F2DC.9A64 0011.D8B9.74FE 


图 3-1 实施 交换 机 风暴 控制 ,防止 网 络 广播 风暴 


【实验 设备 】 
交换 机 1 台 ;PC 2 台 (PC1l 装 有 Ethereal 或 Sniffer 等 报 文 发 送 工具 ) 。 


【预备 知识 

。 交 换 机 转发 原理 。 
t 交换 机 基本 配置 。 
”风暴 控制 原理 。 


mmm 第 3 章 生成 树 安全 m 


当局 域 网 中 交换 机 端口 接收 到 大 量 的 广播 . 单 播 ` 多 播 时 ,就 会 发 生 广 播 风暴 。 转 发 
这 些 包 将 导致 网 络 速度 变 慢 或 超时 。 对 于 企业 的 局 域 网 来 说 ,怎样 避免 受到 广播 风暴 类 
型 的 攻击 导致 网 络 变 慢 这 种 情况 的 出 现 ,是 非常 重要 的 。 

借助 交换 机 端口 的 广播 风暴 控制 技术 ,可 以 有 效 地 避免 由 于 硬件 损坏 或 链 路 故障 而 
引起 的 广播 风暴 ,从 而 导致 网 络 瘫痪 。 风 暴 控制 防止 交换 机 的 端口 被 局 域 网 中 的 广播 ,多 
播 或 一 个 物理 端口 上 的 单 播 风暴 所 破坏 。 局 域 网 风暴 发 生 包 在 局 域 网 中 泛 洪 ,建立 过 多 
的 流量 并 丧失 了 网 络 性 能 。 

在 默认 情况 下 ,局域网 中 交换 机 端口 广播 .多 播 和 单 播 风 暴 控制 被 禁用 。 单 播 . 多 播 、 
广播 的 风暴 控制 在 交换 机 上 关闭 意味 着 压制 级 别 都 是 100%。 但 可 以 使 用 storm-control 
接口 命令 , 设 定 门限 值 给 每 一 种 类 型 的 流量 。 风 暴 控制 功能 对 端口 广播 接受 条 件 进行 设 
置 ,对 广播 的 时 间 和 频率 进行 控制 ,直到 广播 的 传播 情况 处 于 限制 要 求 之 内 ,从 而 获得 网 
络 安全 。 

风暴 控制 防止 交换 机 的 端口 被 局 域 网 中 的 广播 .多 播 或 一 个 物理 端口 上 的 单 播 风 暴 
所 破坏 。 局 域 网 风暴 发 生 包 在 局 域 网 中 泛 洪 ,建立 过 多 的 流量 并 丧失 了 网 络 性 能 。 风 暴 
控制 (或 叫 流量 压制 ?治理 进 栈 的 流量 状态 ,通过 一 段 时 间 和 对 比 测量 带 有 预先 设 定 的 压 
制 级 别 门限 值 的 方法 来 治理 。 门 限 值 表现 为 该 端口 总 的 可 用 带宽 的 百分比 。 交 换 机 支持 
单独 的 风暴 控制 门限 给 广播 多 播 和 单 播 。 假 如 流量 类 型 的 门限 值 达 到 了 ,更 多 这 种 类 型 
的 流量 就 会 受到 压制 ,直到 进 栈 流量 下 降 到 门限 值 级 别 以 下 。 

当 多 播 的 速度 超出 一 组 门限 ,所 有 的 进 站 流量 (广播 .多 播 , 单 播 ) 都 会 被 丢弃 ,直到 级 
别 下 降 到 门限 级 别 以 下 。 只 有 stp 的 包 会 被 转发 。 当 广播 和 单 播 门限 超出 的 时 候 , 只 有 
超出 门限 的 流量 会 被 封闭 。 

当 风 暴 控制 开启 时 ,交换 机 监视 通过 接口 的 包 来 交换 总 线 和 决定 这 个 包 是 单 播 、 多 播 
还 是 广播 。 交 换 机 监视 广播 多 播 和 单 播 的 数目 ,每 1 秒 钟 一 次 ,并 且 当 某 种 类 型 流量 的 门 
限 值 到 达 了 ,这 种 流量 就 会 被 丢弃 。 这 个 门限 以 可 被 广播 使 用 的 总 的 可 用 带宽 的 百分比 
被 指定 。 

在 交换 机 端口 开启 风暴 控制 ,并 输入 总 可 用 带宽 的 百分比 ,确定 要 使 用 给 该 种 流量 ， 
输入 100% 会 允许 所 有 流量 。 然 而 ,因为 硬件 的 限制 以 及 包 大 小 的 不 同 会 导致 偏差 ,门限 
值 百分比 是 一 个 近似 值 。 注 意 , 交 换 机 风暴 控制 仅 支持 在 物理 接 入 端口 下 使 用 , 它 不 支持 
以 太 网 络 干道 环境 下 使 用 ,尽管 在 干道 模式 下 能 输入 命令 。 


【实验 原理 】 

交换 机 的 风暴 控制 是 一 种 工作 在 物理 端口 的 流量 控制 机 制 , 它 在 特定 的 时 间 周 期 内 
监视 端口 收 到 的 数据 帧 ,然后 通过 与 配置 的 阔 值 进行 比较 。 如 果 超 过 了 阔 值 ,交换 机 将 暂 
时 禁止 相应 类 型 的 数据 帧 (未 知 目的 MAC 单 播 .多 播 或 广播 ) 的 转发 直到 数据 流 恢 复 正 
常 ( 低 于 阔 值 ) 。 


【实验 步骤 】 
CD) 创建 并 配置 VLAN. 
Switch# configure 
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Switch (config) #vlan 10 

Switch (config-vlan) # exit 

Switch (config) # interface range fastEthernet 0/12 
Switch (config-if) # switchport access vlan 10 
Switch (config-if) #end 

Switch# 


(2) 验证 测试 。 
在 图 3-1 所 示 的 拓扑 中 ,PC1、PC2 之 间 可 以 互相 ping 通 ,如 图 3-2 所 示 。 


图 3-2 连 在 同一 交换 机 上 的 设备 互相 连通 


(3) 验证 测试 。 


在 PC] 上 使 用 Ethereal 或 Sniffer 等 报 文 发 送 工 具 , 发 送 广播 MAC 地 址 的 帧 ,在 
PC2 上 通过 Ethereal 或 Sniffer 等 报 文 捕获 工具 ,捕获 可 以 看 到 接收 到 的 报 文 的 速率 


(pps) ,如 图 3-3 所 示 。 


Description. IP — Padets padetsis 


NB 802.119 Wireless LAN USB Adapter(3867A) (Microsoft's Packet Scheduler) 172.16.1.64 56 5 Capture | Prepare | betats 


Generic dialup adapter Capture | Prepare | Detais 


Reakek RTLB139/810x Family Fast Ethernet NIC (Merosofts Pachet Scheduler) 192.168.1.1 3441 | s11 | capture | Prepare | Detats 


图 3-3 PC1 捕获 报 文 速率 


图 3-4 所 示 为 在 PC1 上 捕获 的 报 文 , 可 以 看 到 PCI 正在 以 大 约 每 秒 500 个 包 的 速率 


发 送 广播 报 文 。 


Ethernet II, src: 
E MDS Header (Unknown(O) /Unknown(0) ) 
JMalformed Packet: FC] 0 


图 3-4 PC1 捕获 报 文 速 率 


图 3-5 和 图 3-6 所 示 为 在 PC2 上 捕获 的 报 文 ,可 以 看 到 PC2 正在 以 大 约 每 秒 500 个 
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包 的 速率 接收 广播 报 文 。 


.000000 i3 malformed Packet 
. 002065 f d : [Malformed Packet] 
. 003982 :a4 ff: 人 (malformed Packet] 


malformed Packet 
[Malformed Packet] 
[Malformed Packet] 
fus Enemnd nacka: 


3-6 PC2 捕获 报 文 速 率 


(4) 配置 风暴 控制 。 

配置 F0/1 端口 (连接 PCI 的 端口 ) 对 广播 报 文 进行 风暴 控制 ,限制 其 端口 收 到 的 报 
文 速率 (pps)。 

Switch# configure 


Switch (config) # interface fastEthernet 0/1 
Switch (config-if) # stommcontrol broadcast pps 100 


! 设置 报 文 速率 阔 值 为 每 秒 100 个 报 文 
Switch (config if) # end 
Switch# 
(5) 验证 测试 。 


由 于 F0/1 配置 了 对 广播 报 文 的 风暴 控制 ,PC1 发 送 的 广播 报 文 在 进入 FO/1 端口 时 
被 限制 ,只 有 大 约 每 秒 100 个 报 文 可 以 通过 。 

在 PC2 上 捕获 的 报 文 ,可 以 看 到 PC2 接收 报 文 的 速率 为 每 秒 100 个 报 文 , 如 图 3-7 
所 示 。 


图 3-7 限制 流量 后 PC2 捕获 报 文 的 速率 
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【注意 事项 】 
实际 启用 风暴 控制 的 端口 所 允许 通过 的 流量 可 能 会 与 配置 的 阔 值 有 细微 的 偏差 。 


【参考 配置 】 


Switch# show running-config 


Building configuration... 
Current configuration : 1278 bytes 


interface FastEthernet 0/1 
switchport access vlan 10 
storm control broadcast pps 100 

1 

interface FastEthernet 0/2 

switchport access vlan 10 

E 

interface FastEthernet 0/3 

L 

interface FastEthernet 0/4 

! 

interface FastEthernet 0/5 

I 

interface FastEthernet 0/6 

1 

interface FastEthernet 0/7 

1 

interface FastEthernet 0/8 

1 

interface FastEthernet 0/9 

;| 

interface FastEthernet 0/10 

H 

interface FastEthernet 0/11 

l 

interface FastEthernet 0/12 
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interface FastEthernet 0/13 

? 

interface FastEthernet 0/14 

-l 

interface FastEthernet 0/15 

2 

interface FastEthernet 0/16 

1 

interface FastEthernet 0/17 

H 

interface FastEthernet 0/18 

r 

interface FastEthernet 0/19 

1 

interface FastEthernet 0/20 

! 

interface FastEthernet 0/21 

1 

interface FastEthernet 0/22 

H 

interface FastEthernet 0/23 

H 

interface FastEthernet 0/24 

2 

interface GigabitEthernet 0/25 
? 

interface GigabitEthernet 0/26 
H 

interface GigabitEthernet 0/27 
LH 

interface GigabitEthernet 0/28 
1 

1 

1 

1 

line con 0 

line vty 0 4 

login 

! 

! 


end 


3.2 使 用 BPDU Guard 提高 STP 安全 性 mem 


32 使 用 BPDU Guard 提高 STP 安全 性 


【实验 名 称 】 

使 用 BPDU Guard 提高 STP 安全 性 。 

【实验 目的 】 

使 用 交换 机 的 BPDU Guard 特性 增强 交换 网 络 的 稳定 性 与 安全 性 。 

【背景 描述 】 

某 企 业 的 网 络 管理 员 发 现 ,最 近 网 络 中 的 交换 机 时 常会 出 现 生成 树 重新 收敛 的 现象 。 


而 且 由 于 生成 树 的 收敛 ,导致 一 段 时 间 内 交换 机 无 法 转发 用 户 的 数据 信息 ,降低 了 网 络 性 
能 ,并 且 造 成 网 络 拓扑 的 不 稳定 。 经 过 分 析 ,发现 原 因为 某 些 用 户 私自 将 交换 机 接 入 到 了 
网 络 中 ,使 生成 树 重新 收敛 ,造成 网 络 拓扑 不 稳定 。 


【需求 分 析 】 
对 于 STP 来 说 , 当 拥 有 更 好 优先 级 (数值 更 低 ) 的 交换 机 加 入 到 网 络 后 ,会 造成 STP 


重新 进行 计算 ,使 网 络 处 于 收敛 过 程 ,使 用 交换 机 的 BPDU Guard 特性 可 以 防止 端口 接 
收 BPDU ,防止 网 络 拓扑 改变 。 


【实验 拓扑 】 
图 3-8 是 某 企业 的 局 域 网 络 规划 结构 拓扑 。 需 要 配置 交换 机 的 BPDU Guard 特性 ， 


防止 端口 接收 BPDU ,防止 网 络 拓扑 改变 ,实现 企业 网 安全 。 


【实验 设备 】 SWI 

交换 机 3 台 。 

【预备 知识 F023| |FO/24 

。 交换 机 转发 原理 。 

。 交换 机 基本 配置 。 F0/23 (a | F0/24 

* BI MORS ES nes LY 
生成 树 协议 是 一 种 二 层 管 理 协议 , 它 通 过 有 选择 性 sw2 SW3 


地 阻塞 网 络 宛 余 链 路 来 达到 消除 网 络 二 层 环 路 的 目的 ， 图 3-8 配置 交换 机 BPDU Guard 
同时 具备 链 路 的 备份 功能 。 特性 ,实现 网 络 安全 


生成 树 协议 (Spanning-Tree Protocol, STP) 最 初 是 


由 美国 数字 设备 公司 (Digital Equipment Corp. DEC) 开 发 的 ,后 经 电气 电子 工程 师 学 会 
(Institute of Electrical and Electronics Engineers, IEEE) 进行 修改 ,最 终 制定 了 相应 的 


IEEE 802. 1d 标准 。STP 协议 的 主要 功能 就 是 为 了 解决 由 于 备份 连接 所 产生 的 环 路 
问题 。 


STP 协议 的 主要 思想 就 是 当 网 络 中 存在 备份 链 路 时 ,只 允许 主 链 路 激活 ,如 果 主 链 
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路 因 故 障 而 被 断 开 后 ,备用 链 路 才 会 被 打开 。IEEE 802. 1d 生成 树 协议 检测 到 网 络 上 存 
在 环 路 时 ,自动 断 开 环 路 链 路 。 当 交换 机 间 存 在 多 条 链 路 时 ,交换 机 的 生成 树 算 法 只 启动 
最 主要 的 一 条 链 路 ,而 将 其 他 链 路 都 阻塞 掉 ,将 这 些 链 路 变 为 备用 链 路 。 当 主 链 路 出 现 问 
题 时 ,生成 树 协议 将 自动 启用 备用 链 路 接替 主 链 路 的 工作 ,不 需要 任何 人 工 干预 。 

大 家 知道 ,自然 界 中 生长 的 树 是 不 会 出 现 环 路 的 ,如 果 网 络 也 能 够 像 树 一 样 生长 就 不 
会 出 现 环 路 。 于 是 ,STP 协议 中 定义 了 根 交换 机 (Root Bridge) 、 根 端口 (Root Port) ,指定 
端口 (Designated Port) 和 路 径 开销 (Path Cost) 等 概念 ,目的 就 在 于 通过 构造 一 棵 自然 树 
的 方法 达到 阻塞 元 余 环 路 ,同时 实现 链 路 备份 和 路 径 最 优化 。STP 协议 的 本 质 就 是 利用 
图 论 中 的 生成 树 算 法 ,对 网 络 的 物理 结构 不 加 改变 ,而 在 逻辑 上 切断 环 路 ,阻塞 某 些 交换 
机 端口 ,提取 连通 图 ,形成 一 个 生成 树 ,以 解决 环 路 所 造成 的 严重 后 果 。 

IEEE 802. 1d 协议 通过 在 交换 机 上 运行 一 套 复杂 的 算法 ,使 元 余 端 口 置 于 “阻塞 状 
态 ”, 使 得 网 络 中 的 计算 机 在 通信 时 只 有 一 条 链 路 生效 ,而 当 这 个 链 路 出 现 故 障 时 ,IEEE 
802. 1d 协议 将 会 重新 计算 出 网 络 的 最 优 链 路 ,将 处 于 * 阻 塞 状态 ”的 端口 重新 打开 ,从 而 
确保 网 络 连 接 稳 定 可 靠 。 

。 PortFast 原理 。 

在 一 个 启用 STP 的 网 络 中 ,所 有 交换 机 端口 在 启动 之 后 ,都 将 经 历 阻 塞 状态 以 及 侦 
听 和 学 习 这 两 种 过 渡 状态 。 正 确 配 置 的 端口 最 终 会 稳定 在 转发 状态 或 阻塞 状态 ,处 于 转 
发 状态 的 端口 提供 了 到 达 根 交换 机 的 最 短路 径 开 销 , 处 于 阻塞 状态 的 端口 则 作为 备份 链 
路 随时 待命 。 当 交换 机 识别 出 网 络 拓扑 变化 时 ,交换 机 端口 的 状态 变化 :阻塞 状态 
(blocking) 、 侦 听 状 态 (listening) ,学 习 状 态 (learning) 、 转 发 状态 (forwarding)、 禁 止 状态 
(disable) 。 

默认 只 有 forwarding 状态 ,port 才能 发 送 用 户 数据 。 如 果 一 个 port 一 开始 是 没有 接 
pe, — HE. pc 接 上 ,就 会 经 历 blocking—listening—learing> forwarding ,每 个 状态 的 变化 要 
经 历 一 段 时 间 ,这样 总 共 会 有 3 个 阶段 时 间 , 默 认 的 配置 要 50 秒 钟 。 这 样 从 PC 接 上 网 
线 ,到 能 发 送 用 户 数据 ,需要 等 50 秒 的 时 间 ,但 如 果 设 置 了 PortFast, 那 就 不 需要 等 待 这 
50 秒 了 。 

采用 PortFast 可 以 让 这 些 端 口 节省 Listening 和 Learning 状态 的 时 间 , 立 即 进入 
Forwarding 状态 。 需 要 注意 的 是 ,PortFast 仅仅 让 端口 在 网 络 环境 变化 的 情况 下 ,直接 
进入 Forwarding 状态 。 而 端口 仍然 运行 STP 协议 ,所 以 如 果 检 测 到 环 路 ,端口 仍 将 由 
Forwarding 状态 变 成 Blocking 状态 。PortFast 快速 端口 能 使 交换 机 跳 过 侦 听 、 学 习 状 态 
而 进入 STP 转发 状态 。 

当 一 个 设备 连接 到 一 个 端口 上 时 ,端口 通常 进入 侦 听 状态 。 当 转发 延迟 定时 器 超时 
后 ,进入 学 习 状 态 , 当 转 发 延迟 定时 器 第 二 次 超时 ,端口 进入 到 转发 或 阻塞 状态 , 当 一 个 交 
换 机 或 中 继 端 口 启用 PortFast 后 ,端口 立即 进入 转发 状态 ,但 交换 机 检测 到 链 路 ,端口 就 
进入 转发 状态 ( 插 电 缆 后 的 2s) 。 

如 果 端 口 检测 到 一 个 环 路 同时 又 启用 了 PortFast 功能 , 它 就 进入 阻塞 状态 。 重 要 的 
是 ,要 注意 到 PortFast 值 在 端口 初始 化 的 时 候 才 生效 。 如 果 端 口 由 于 某 种 原因 又 被 迫 进 
入 阻塞 状态 ,随后 又 需要 回 到 转发 状态 ,仍然 要 经 过 正常 的 侦 听 。PortFast 只 能 用 在 接 入 
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层 , 也 就 是 说 交换 机 的 端口 是 接 HOST 的 才能 起 用 PortFast, 如 果 是 接 交 换 机 的 就 一 定 
不 能 启用 ,否则 会 造成 新 的 环 路 。 

配置 方法 是 在 接口 模式 下 启用 命令 Spanning-tree PortFast。 

。 BPDU Guard 原理 。 

当 交 换 机 STP 功能 启用 ,默认 所 有 端口 都 会 参与 STP ,发送 和 接收 BPDU ,交换 机 之 
间 是 通过 BPDU 包 的 传送 来 识别 对 方 是 交换 机 还 是 普通 PC。 当 BPDU Guard 开启 后 ， 
在 正常 情况 下 ,一 个 下 联 端 口 不 会 收 到 任何 BPDU。 启 用 BPDU Guard 的 端口 功能 是 ， 
当 这 个 端口 收 到 任何 BPDU ,就 马上 设 为 Error-Disabled RÆ. 

因为 PC 和 非 网 管 换 机 都 不 支持 STP, 所 以 不 会 收发 BPDU。 当 这 个 端口 有 自 回环 
的 环 路 ,那么 它 发 出 去 的 BPDU 在 非 网 管 换 机 上 回环 后 ,就 会 被 自己 接收 到 ,这 个 时 候 
BPDU Guard 就 会 把 它 立 刻 设 为 Error-Disabled 状态 。 这 个 端口 就 相当 于 被 关闭 了 ,不 
会 转发 任何 数据 ,也 就 切断 了 环 路 ,保护 了 整个 网 络 。 

交换 机 BPDU Guard 特性 可 以 全 局 启用 ,也 可 以 基于 接口 启用 ,两 种 方法 稍 有 不 同 。 
当 在 启用 PortFast 特性 端口 收 到 BPDU 后 ,BPDU Guard 特性 将 关闭 (Error-Disable) 该 
端口 。 端 口 处 于 Error-Disable 状态 时 ,必须 手动 才能 把 此 端口 回复 为 正常 状态 。 

ROOT Guard 是 根 桥 保护 ,一 般 在 汇聚 层 或 核心 层 网 络 设置 ,避免 一 个 网 络 的 总 根 
进行 振荡 ,被 接 入 层 设 备 占据 根 桥 位 置 。 在 开启 了 PortFast 的 接口 上 去 开启 BPDU 
Guard, 开 启 后 如 果 这 个 接口 收 到 了 BPDU 报 文 ,就 会 把 该 接口 置 位 Error-Disable 的 状 
态 , 如 果 没 有 收 到 BPDU 报 文 那 么 一 切 正常 。 宁 可 把 这 个 接口 关闭 也 不 能 造成 网 络 的 环 
路 。 配 置 交换 机 BPDU Guard 的 特性 方法 : 


Switch (config)# spanning tree portfast bpduguard default 

! 一 在 启用 了 PortFast 特性 的 端口 上 启用 BPDU Guard 
Switch (config if)#spanning tree bpduguard enable 

! 一 在 不 启用 PortFast 特性 的 情况 下 启用 BPDU Guard 


【实验 原理 】 

BPDU Guard(BPDU 防护 ) 是 STP 的 一 个 增强 机 制 , 也 是 一 个 安全 机 制 。 当 交换 机 
的 端口 启用 了 BPDU Guard 后 ,端口 将 丢弃 收 到 的 BPDU 报 文 ,而 且 配置 了 BPDU 
Guard 的 端口 收 到 BPDU 报 文 后 ,端口 会 变 为 Error-Disabled 状态 ,不 但 避免 了 环 路 的 产 
生 , 而 且 增 强 了 交换 网 络 的 安全 性 和 稳定 性 。 


【实验 步骤 】 
COD 配置 Trunk 端口 。 
SW1 5 SW2 之 间 通 过 两 条 链 路 相连 以 提供 元 余 性 。 


SW1# configure 

SW1 (config) # interface fastEthernet 0/23 
SW1 (config-if) # switchport mode trunk 
SW1 (config-if) # exit 

SW1 (config) # interface fastEthernet 0/24 
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SW1 (config if)# switchport mode trunk 
SW1 (config-if)4$ end 
SW1# 


SW2# configure 

SW2 (config) # interface fastEthernet 0/23 
SW? (config-if) # switchport mode trunk 
SW2 (config-if)#exit 

SW2 (config) # interface fastEthernet 0/24 
SW2 (config-if) # switchport mode trunk 
SW2 (config-if) # end 

SW2# 


(2) 启用 生成 树 协议 。 


SW1# configure 

SW1 (config) # spanning tree mode rstp 
SW1 (config) # spanning tree 

SW1 (config) # 


SW2# configure 

SW2 (config) # spanning-tree mode rstp 
SW2 (config) # spanning-tree 

SW2 (config) # 


(3) 验证 测试 。 
查看 生成 树 的 选举 结果 ,由 于 SW2 具有 更 小 的 MAC 地 址 ,所 以 SW2 被 选 为 根 桥 。 


SW1# show spanning-tree 
StpVersion : RSTP 
SysStpStatus : ENABLED 
MaxAge : 20 
HelloTime : 2 
ForwardDelay : 15 
BridgeMaxAge : 20 
BridgeHelloTime : 2 
BridgeForwardDelay : 15 
MaxHops: 20 
TxHoldCount : 3 
PathCostMethod : Long 
BPDUGuard : Disabled 
BPDUFilter : Disabled 
BridgeAddr : 00d0.f882.f4al 
Priority: 32768 
TimeSinceTopologyChange : 0d:2h:37m:57s 
TopologyChanges : 10 
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DesignatedRoot : 8000.00d0.£821.a542 
RootCost : 200000 
RootPort : 23 


SW2# show spanning-tree 
StpVersion : RSTP 
SysStpStatus : ENABLED 
MaxAge : 20 

HelloTime : 2 

ForwardDelay : 15 
BridgeMaxAge : 20 
BridgeHelloTime : 2 
BridgeForwardDelay : 15 
MaxHops: 20 

TxHoldCount : 3 
PathCostMethod : Long 
BPDUGuard : Disabled 
BPDUFilter : Disabled 
BridgeAddr : 00d0.£821.a542 
Priority: 32768 
TimeSinceTopologyChange : 0d:2h:38m:28s 
TopologyChanges : 14 
DesignatedRoot : 8000.00d0.f821.a542 
RootCost : 0 

RootPort : 0 


(4) 配置 SW3。 
将 SW3 配置 为 具有 更 小 数值 的 优先 级 ,以 确保 SW3 有 资格 成 为 新 的 根 桥 ,并 启用 
RSTP。 


SW3# configure 

SW3 (config)# spanning-tree priority 4096 
SW3 (config) # spanning-tree mode rstp 

SW3 (config) # spanning tree 

SW3 (config) # 


(5) 将 SW3 HA SW2 的 FO/1 端口 。 
交换 机 提示 拓扑 变更 。 


SW2# Dec 3 23:09:37 SW2 % 7:% LINK CHANGED: Interface FastEthernet 0/1, changed state to up 
Dec 3 23:09:37 SW2 % 7:% LINE PROTOCOL CHANGE: Interface FastEthernet 0/1, changed state to 
UP 

Dec 3 23:09:40 SW2 % 7:2007-12-3 23:09:40 topochange:topology is changed 

Dec 3 23:09:41 SW2 % 7:2007-12-3 23:09:41 topochange:topology is changed 


查看 生成 树 的 选举 结果 ,可 以 看 到 SW3 成 为 新 的 根 桥 。 
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SW2# show spanning tree 
StpVersion : RSTP 
SysStpStatus : ENABLED 
MaxAge : 20 

HelloTime : 2 

ForwardDelay : 15 
BridgeMaxAge : 20 
BridgeHelloTime : 2 
BridgeForwardDelay : 15 
MaxHops: 20 

TxHoldCount : 3 
PathCostMethod : Long 
BPDUGuard : Disabled 
BPDUFilter : Disabled 
BridgeAddr : 00d0.£821.a542 
Priority: 32768 
TimeSinceTopologyChange : 0d:0h:0m:36s 
TopologyChanges : 16 
DesignatedRoot : 1000.00d0.f834.6af0 
RootCost : 200000 

RootPort : 1 


SW1# show spanning-tree 
StpVersion : RSTP 
SysStpStatus : ENABLED 
MaxAge : 20 

HelloTime : 2 

ForwardDelay : 15 
BridgeMaxAge : 20 
BridgeHelloTime : 2 
BridgeForwardDelay : 15 
MaxHops: 20 

TxHoldCount : 3 
PathCostMethod : Long 
BPDUGuard : Disabled 
BPDUFilter : Disabled 
BridgeAddr : 00d0.f882.f4al 
Priority: 32768 
TimeSinceTopologyChange : 0d:0h:1m:22s 
TopologyChanges : 12 
DesignatedRoot : 1000.00d0.£834.6af0 
RootCost : 400000 

RootPort : 23 
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SW3# show spanning tree 
StpVersion : RSTP 
SysStpStatus : ENABLED 
MaxAge : 20 

HelloTime : 2 

ForwardDelay : 15 
BridgeMaxAge : 20 
BridgeHelloTime : 2 
BridgeForwardDelay : 15 
MaxHops: 20 

TxHoldCount : 3 
PathCostMethod : Long 
BPDUGuard : Disabled 
BPDUFilter : Disabled 
BridgeAddr : 00d0.f834.6af0 
Priority: 4096 
TimeSinceTopologyChange : 0d:0h:1m:56s 
TopologyChanges : 6 
DesignatedRoot : 1000.00d0.f834.6af0 
RootCost : 0 

RootPort : 0 


通过 以 上 测试 可 以 看 出 ,由 于 SW3 的 加 入 ,造成 STP 重新 进行 计算 。 
(6) 将 SW3 从 SW2 的 FO/1 端口 断 开 ,使 网 络 恢复 以 前 的 拓扑 。 

(7) 配置 BPDU Guard。 

启用 SW2 的 Fo/l 端口 的 BPDU Guard 特性 。 


SW2# configure 

SW2 (config)# interface fastEthernet 0/1 

SW2 (config-if) # spanning-tree bpduguard enable 
SW2 (config-if) #end 

SW2# 


查看 BPDU Guard 状态 。 


SW2# show spanning tree interface fastEthernet 0/1 


PortAdminPortFast : Disabled 
PortOperPortFast : Disabled 
PortAdminLinkType : auto 
PortOperLinkType : point-to-point 
PortBPDUGuard : enable 
PortBPDUFilter : disable 
PortState : discarding 
PortPriority : 128 
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PortDesignatedRoot : 8000.00d0.f821.a542 
PortDesignatedCost : 0 

PortDesignatedBridge :8000.00d0.f821.a542 
PortDesignatedPort : 8001 

PortForwardTransitions : 3 

PortAdminPathCost : 200000 

PortOperPathCost : 200000 

PortRole : disableport 


(8) 将 SW3 HEX BEA. SW2 的 F0/1 端口 。 
SW2 提示 FO/1 端口 变 为 down。 


Dec 3 23:25:26 SW2 % 7:% LINK CHANGED: Interface FastEthernet 0/1, changed state to up 
Dec 3 23:25:26 SW2 % 7:% LINE PROTOCOL CHANGE: Interface FastEthernet 0/1, changed state to 
UP 


Dec 3 23:25:29 SW2 % 7:% LINK CHANGED: Interface FastEthernet 0/1, changed state to down 
Dec 3 23:25:29 SW2 $ 7:% LINE PROTOCOL CHANGE: Interface FastEthernet 0/1, changed state to 


查看 F0/1 端口 的 生成 树 状态 。 


SW2# show spanning-tree interface f0/1 


PortAdminPortFast : Disabled 
PortOperPortFast : Disabled 
PortAdminLinkType : auto 
PortOperLinkType : point-to-point 
PortBPDUGuard : enable 

PortBPDUFilter : disable 

PortState : discarding 

PortPriority : 128 

PortDesignatedRoot : 8000.00d0.f821.a542 
PortDesignatedCost : 0 
PortDesignatedBridge :8000.00d0.f821.a542 
PortDesignatedPort : 8001 
PortForwardTransitions : 3 
PortAdminPathCost : 200000 
PortOperPathCost : 200000 

PortRole : disableport 


查看 SW2 5 SWI 的 生成 树 状态 ,SW2 仍然 为 根 桥 。 


SW2# show spanning tree 
StpVersion : RSTP 
SysStpStatus : ENABLED 
MaxAge : 20 
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HelloTime : 2 

ForwardDelay : 15 

BridgeMaxAge : 20 

BridgeHelloTime : 2 
BridgeForwardDelay : 15 

MaxHops: 20 

TxHoldCount : 3 

PathCostMethod : Long 

BPDUGuard : Disabled 

BPDUFilter : Disabled 

BridgeAddr : 00d0.£821.a542 
Priority: 32768 
TimeSinceTopologyChange : 0d:0h:20m:26s 
TopologyChanges : 16 

DesignatedRoot : 8000.00d0.f821.a542 
RootCost : 0 

RootPort : 0 


SW1# show spanning-tree 
StpVersion : RSTP 
SysStpStatus : ENABLED 
MaxAge : 20 

HelloTime : 2 

ForwardDelay : 15 
BridgeMaxAge : 20 
BridgeHelloTime : 2 
BridgeForwardDelay : 15 
MaxHops: 20 

TxHoldCount : 3 
PathCostMethod : Long 
BPDUGuard : Disabled 
BPDUFilter : Disabled 
BridgeAddr : 00d0.f882.f4al 
Priority: 32768 
TimeSinceTopologyChange : 0d:0h:20m:56s 
TopologyChanges : 12 
DesignatedRoot : 8000.00d0.f821.a542 
RootCost : 200000 

RootPort : 23 


通过 以 上 测试 可 以 看 出 ,由 于 SW2 的 FO/1 端口 配置 了 BPDU Guard. ?4 SW3 接 入 
到 FO/1 端口 后 , 收 到 了 BPDU 报 文 ,BPDU Guard 使 F0/1 端口 变 为 Disable 状态 ,并且 
阻塞 了 BPDU 报 文 ,使 得 原 网 络 拓扑 没有 受到 影响 。 
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【注意 事项 】 

当 端 口 进 入 Error-Disabled 状态 后 ,端口 将 被 关闭 ,丢弃 所 有 报 文 ,需要 使 用 
errdisable recovery 命令 手工 启用 端口 ,或 使 用 errdisable recovery interval time 命令 设置 
超时 间隔 ,此 时 间 间 隔 过 后 ,端口 将 自动 被 启用 。 


【参考 配置 】 


SW1# show running config 


Building configuration. 


Current configuration : 1213 bytes 
1 


hostname SWl 


spanning-tree 
spanning-tree mode rstp 
interface FastEthernet 0/1 
L 

interface FastEthernet 0/2 
- 

interface FastEthernet 0/3 
p 

interface FastEthernet 0/4 
? 

interface FastEthernet 0/5 
1 

interface FastEthernet 0/6 
! 

interface FastEthernet 0/7 
L 

interface FastEthernet 0/8 
H 

interface FastEthernet 0/9 
1 

interface FastEthernet 0/10 
? 

interface FastEthernet 0/11 
1 

interface FastEthernet 0/12 
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interface FastEthernet 0/13 
d 
interface FastEthernet 0/14 
! 
interface FastEthernet 0/15 
i| 
interface FastEthernet 0/16 
! 
interface FastEthernet 0/17 
i 
interface FastEthernet 0/18 
Li 
interface FastEthernet 0/19 
a 
interface FastEthernet 0/20 
LH 
interface FastEthernet 0/21 
LI 
interface FastEthernet 0/22 
1 
interface FastEthernet 0/23 
switchport mode trunk 


! 
interface FastEthernet 0/24 
switchport mode trunk 


! 
interface GigabitEthernet 0/25 
H 
interface GigabitEthernet 0/26 
a 
interface GigabitEthernet 0/27 
1 
interface GigabitEthernet 0/28 
! 
1 
line con 0 
line vty 0 4 

login 
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SW2# show running-config 


Building configuration... 
Current configuration : 1246 bytes 
1 


hostname SW2 


spanning-tree 

spanning-tree mode rstp 

interface FastEthernet 0/1 
spanning-tree bpduguard enable 

a 

interface FastEthernet 0/2 

1 

interface FastEthernet 0/3 

! 

interface FastEthernet 0/4 

! 

interface FastEthernet 0/5 

! 

interface FastEthernet 0/6 

L 

interface FastEthernet 0/7 

H 

interface FastEthernet 0/8 

L 

interface FastEthernet 0/9 

H 

interface FastEthernet 0/10 

! 

interface FastEthernet 0/11 

1 

interface FastEthernet 0/12 

3 

interface FastEthernet 0/13 

3 

interface FastEthernet 0/14 

a 

interface FastEthernet 0/15 
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! 
interface FastEthernet 0/16 
! 
interface FastEthernet 0/17 
! 
interface FastEthernet 0/18 
! 
interface FastEthernet 0/19 
J 
interface FastEthernet 0/20 
J 
interface FastEthernet 0/21 
-l 
interface FastEthernet 0/22 
a 
interface FastEthernet 0/23 
switchport mode trunk 


! 
interface FastEthernet 0/24 
switchport mode trunk 


! 
interface GigabitEthernet 0/25 
! 
interface GigabitEthernet 0/26 
' 
interface GigabitEthernet 0/27 
! 
interface GigabitEthernet 0/28 
1 
1 
1 
line con 0 
line vty 04 

login 


SW3# show running-config 


Building configuration... 


3.2 使 用 BPDU Guard 提 高 STP 安 全 性 m= 
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Current configuration : 1208 bytes 
1 


hostname SW3 


spanning-tree 
spanning-tree mode rstp 
spanning-tree mst 0 priority 4096 
interface FastEthernet 0/1 
| 

interface FastEthernet 0/2 
4 

interface FastEthernet 0/3 
? 

interface FastEthernet 0/4 
! 

interface FastEthernet 0/5 
! 

interface FastEthernet 0/6 
! 

interface FastEthernet 0/7 
! 

interface FastEthernet 0/8 
E 

interface FastEthernet 0/9 
H 

interface FastEthernet 0/10 
a 

interface FastEthernet 0/11 
1 

interface FastEthernet 0/12 
I 

interface FastEthernet 0/13 
H 

interface FastEthernet 0/14 
H 

interface FastEthernet 0/15 
i| 

interface FastEthernet 0/16 
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interface FastEthernet 0/17 
1 
interface FastEthernet 0/18 
1 
interface FastEthernet 0/19 
! 
interface FastEthernet 0/20 
! 
interface FastEthernet 0/21 
! 
interface FastEthernet 0/22 
! 
interface FastEthernet 0/23 
i] 
interface FastEthernet 0/24 
H 
interface GigabitEthernet 0/25 
L 
interface GigabitEthernet 0/26 
! 
interface GigabitEthernet 0/27 
I 
interface GigabitEthernet 0/28 
1 
1 
H 
line con 0 
line vty0 4 
login 


3.3 
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33 ”使 用 BPDU Filter 提高 STP 安全 性 


【实验 名 称 】 


使 用 BPDU Filter 提高 STP 安全 性 。 


【实验 目的 】 


使 用 交换 机 的 BPDU 过 滤 特 性 增强 交换 网 络 的 稳定 性 与 弹性 。 


【背景 描述 】 


正常 情况 下 ,交换 机 会 向 所 有 启用 的 接口 发 送 BPDU 报 文 ,以 便 进行 生成 树 的 选举 
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与 拓扑 维护 。 但 是 ,如 果 交 换 机 的 某 个 端口 连接 的 为 终端 设备 ,如 PC、 打印 机 等 ,而 这 些 
设备 无 须 参 与 STP 计算 ,所 以 无 须 接 收 BPDU 报 文 。 

【需求 分 析 】 

可 以 使 用 过 滤 BPDU Filter 功能 禁止 BPDU 报 文 从 端口 发 送出 去 ,以 防止 无 须 参 与 
STP 计算 的 设备 收 到 多 余 的 BPDU 报 文 。 

【实验 拓扑 】 


图 3-9 是 某 企 业 的 局 域 网 络 规划 结构 拓扑 。 需 要 配置 交换 机 的 BPDU Filter 特性 ， 
禁止 BPDU 报 文 从 端口 发 送出 去 ,以 防止 无 须 参 与 STP svi 


计算 的 设备 收 到 多 余 的 BPDU 报 文 ,实现 企业 网 安全 。 Fo LN 
【实验 设备 】 F0/23 |^ |Fo24 
交换 机 3 台 ;PC 1 A. 
【预备 知识 】 F0/23 |... |F0/24 
- 交换 机 转发 原理 。 Q. ----- Y 
。 交换 机 基本 配置 。 SW2 SW3 
* STP 原理 。 图 3-9 配置 交换 机 BPDU Filter 
。 PortFast 原理 。 特性 实现 网 络 安全 


* BPDU Filter 原理 。 

交换 机 之 间 是 通过 BPDU 包 的 传送 来 识别 对 方 是 交换 机 还 是 普通 PC 的 ,交换 机 端 
H BPDU 包 默 认 是 开启 的 。 如 果 在 交换 机 的 接口 上 ,启用 PortFast 特性 后 ,就 不 会 在 该 
接口 检测 BPDU 信息 。 默 认 该 接口 连接 的 设备 不 是 交换 机 ,而 启动 状态 也 直接 从 
Blocking 变 为 Fowording。 

如 果 全 局 配置 了 BPDU Filter 过 滤 功 能 ,但 某 个 端口 接收 到 任何 BPDU ,那么 交换 机 
将 把 接口 更 改 回 正常 STP 操作 ,也 就 是 它 将 禁用 PortFast 和 BPDU 过 滤 特 性 。 如 果 在 
接口 上 明确 配置 了 BPDU 过 滤 功 能 ,那么 交换 机 将 不 发 送 任何 的 BPDU, 并 且 将 把 接收 
到 的 所 有 BPDU WER, 

开启 BPDU Filter 的 接口 不 能 收发 BPDU 报 文 , 需 要 在 接口 模式 下 配置: 


spanning-tree bpdufilter enable 


【实验 原理 】 

BPDU Filter 功能 禁止 BPDU 报 文 从 端口 发 送出 去 ,以 防止 无 须 参 与 STP 计算 的 设 
备 收 到 多 余 的 BPDU 报 文 。 

【实验 步骤 】 

CD 配置 Trunk 端口 。 

SW1 5 SW2 之 间 通 过 两 条 链 路 相连 以 提供 元 余 性 。 


SW1# configure 
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SW1 (config) # interface fastEthernet 0/23 
SW1 (config if)# switchport mode trunk 
SW1 (config-if) # exit 

SW1 (config) # interface fastEthernet 0/24 
SW1 (config-if) # switchport mode trunk 
SW1 (config-if) # end 

SW1# 


SW2# configure 

SW2 (config) # interface fastEthernet 0/23 
SW2 (config-if) # switchport mode trunk 
SW2 (config-if) #exit 

SW2 (config) # interface fastEthernet 0/24 
SW2 (config- if) # switchport mode trunk 
SW2 (config-if) #end 

SW2# 


(2) 启用 生成 树 协议 。 


SW1# configure 

SW1 (config) # spanning tree mode rstp 
SW1 (config) # spanning tree 

SW1 (config) # 


SW2# configure 

SW2 (config) # spanning-tree mode rstp 
SW2 (config) # spanning tree 

SW2 (config) # 


G) 验证 测试 。 


3.3 


使 用 BPDU Filter 提高 STP 安全 性 mm 


查看 生成 树 的 选举 结果 ,由 于 SW2 具有 更 小 的 MAC 地 址 ,所 以 SW2 被 选 为 根 桥 。 


SW1# show spanning-tree 
StpVersion : RSTP 
SysStpStatus : ENABLED 
MaxAge : 20 

HelloTime : 2 
ForwardDelay : 15 
BridgeMaxAge : 20 
BridgeHelloTime : 2 
BridgeForwardDelay : 15 
MaxHops: 20 
TxHoldCount : 3 
PathCostMethod : Long 
BPDUGuard : Disabled 
BPDUFilter : Disabled 


81 


ms 第 3 章 RRRA m 
BridgeAddr : 00d0.f882.f4al 
Priority: 32768 
TimeSinceTopologyChange : 0d:2h:37m:57s 
TopologyChanges : 10 
DesignatedRoot : 8000.00d0.f821.a542 
RootCost : 200000 
RootPort : 23 


SW2# show spanning-tree 
StpVersion : RSTP 
SysStpStatus : ENABLED 
MaxAge : 20 

HelloTime : 2 
ForwardDelay : 15 
BridgeMaxAge : 20 
BridgeHelloTime 
BridgeForwardDelay : 15 

MaxHops: 20 

TxHoldCount : 3 

PathCostMethod : Long 

BPDUGuard : Disabled 

BPDUFilter : Disabled 

BridgeAddr : 00d0.£821.a542 

Priority: 32768 
TimeSinceTopologyChange : 0d:2h:38m:28s 
TopologyChanges : 14 

DesignatedRoot : 8000.00d0.f821.a542 
RootCost : 0 


2 


RootPort : 0 


(4) 配置 SW3。 
将 SW3 配置 为 具有 更 小 数值 的 优先 级 ,以 确保 SW3 有 资格 成 为 新 的 根 桥 ,并 启用 
RSTP, 


SW3# configure 

SW3 (config) # spanning tree priority 4096 
SW3 (config) # spanning tree mode rstp 

SW3 (config) # spanning tree 

SW3 (config) # 


(5) 将 SW3 BEA SW2 的 F0/1 端口 。 

交换 机 提示 拓扑 变更 。 

SW2# Dec 3 23:09:37 SW2 % 7:% LINK CHANGED: Interface FastEthernet 0/1, changed state to up 

Dec 3 23:09:37 SW2 $ 7:% LINE PROTOCOL CHANGE: Interface FastEthernet 0/1, changed state to 
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UP 
Dec 3 23:09:40 SW2 % 7:2007-12-3 23:09:40 topochange:topology is changed 
Dec 3 23:09:41 SW2 % 7:2007-12-3 23:09:41 topochange:topology is changed 


查看 生成 树 的 选举 结果 ,可 以 看 到 SW3 成 为 新 的 根 桥 。 


SW2# show spanning-tree 
StpVersion : RSTP 
SysStpStatus : ENABLED 
MaxAge : 20 

HelloTime : 2 

ForwardDelay : 15 
BridgeMaxAge : 20 
BridgeHelloTime : 2 
BridgeForwardDelay : 15 
MaxHops: 20 

TxHoldCount : 3 
PathCostMethod : Long 
BPDUGuard : Disabled 
BPDUFilter : Disabled 
BridgeAddr : 00d0.£821.a542 
Priority: 32768 
TimeSinceTopologyChange : 0d:0h:0m:36s 
TopologyChanges : 16 
DesignatedRoot : 1000.00d0.f834.6af0 
RootCost : 200000 

RootPort : 1 


SW1# show spanning-tree 

StpVersion : RSTP 

SysStpStatus : ENABLED 

MaxAge : 20 

HelloTime : 2 

ForwardDelay : 15 

BridgeMaxAge : 20 

BridgeHelloTime : 2 

BridgeForwardDelay : 15 

MaxHops: 20 

TxHoldCount : 3 

PathCostMethod : Long 

BPDUGuard : Disabled 

BPDUFilter : Disabled 

BridgeAddr : 00d0.f882.f4al 

Priority: 32768 

TimeSinceTopologyChange : 0d:0h:1m:22s 
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TopologyChanges : 12 

DesignatedRoot : 1000.00d0.f834.6af0 
RootCost : 400000 

RootPort : 23 


SW3# show spanning-tree 
StpVersion : RSTP 
SysStpStatus : ENABLED 
MaxAge : 20 

HelloTime : 2 

ForwardDelay : 15 
BridgeMaxAge : 20 
BridgeHelloTime : 2 
BridgeForwardDelay : 15 
MaxHops: 20 

TxHoldCount : 3 
PathCostMethod : Long 
BPDUGuard : Disabled 
BPDUFilter : Disabled 
BridgeAddr : 00d0.f834.6af0 
Priority: 4096 
TimeSinceTopologyChange : 0d:0h:1m:56s 
TopologyChanges : 6 
DesignatedRoot : 1000.00d0.f834.6af0 
RootCost : 0 

RootPort : 0 


通过 以 上 测试 可 以 看 出 ,由 于 SW3 的 加 入 ,造成 STP 重新 进行 计算 。 
(6) 将 SW3 从 SW2 的 FO/1 端口 断 开 ,使 网 络 恢复 以 前 的 拓扑 。 

(7) 配置 BPDU Filter。 

启用 SW2 的 FO/1 端口 的 BPDU Filter 特性 。 


SW2# configure 

SW2 (config) # interface fastEthernet 0/1 

SW2 (config-if) # spanning tree bpdufilter enable 
SW2 (config-if) #end 

SW2# 


查看 BPDU Filter 状态 。 


SW2# show spanning tree interface fastEthernet 0/1 


PortAdminPortFast : Disabled 
PortOperPortFast : Disabled 
PortAdminLinkType : auto 
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PortOperLinkType : point-to-point 
PortBPDUGuard : disable 

PortBPDUFilter : enable 

PortState : discarding 

PortPriority : 128 

PortDesignatedRoot : 8000.00d0.f821.a542 
PortDesignatedCost : 0 
PortDesignatedBridge :8000.00d0.f821.a542 
PortDesignatedPort : 8001 
PortForwardTransitions : 3 
PortAdminPathCost : 200000 
PortOperPathCost : 200000 

PortRole : disableport 


(8) 将 SW3 再 次 接 入 SW2 的 F0/1 端口 。 
查看 SW2 与 SW1 的 生成 树 状态 ,SW2 仍然 为 根 桥 。 


SW2# show spanning tree 
StpVersion : RSTP 
SysStpStatus : ENABLED 
MaxAge : 20 

HelloTime : 2 

ForwardDelay : 15 
BridgeMaxAge : 20 
BridgeHelloTime : 2 
BridgeForwardDelay : 15 
MaxHops: 20 

TxHoldCount : 3 
PathCostMethod : Long 
BPDUGuard : Disabled 
BPDUFilter : Disabled 
BridgeAddr : 00d0.£821.a542 
Priority: 32768 
TimeSinceTopologyChange : 0d:0h:20m:26s 
TopologyChanges : 16 
DesignatedRoot : 8000.00d0.£821.a542 
RootCost : 0 

RootPort : 0 


SW1# show spanning-tree 
StpVersion : RSTP 
SysStpStatus : ENABLED 
MaxAge : 20 

HelloTime : 2 
ForwardDelay : 15 
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BridgeMaxAge : 20 

BridgeHelloTime : 2 
BridgeForwardDelay : 15 

MaxHops: 20 

TxHoldCount : 3 

PathCostMethod : Long 

BPDUGuard : Disabled 

BPDUFilter : Disabled 

BridgeAddr : 00d0.£882.f4al 
Priority: 32768 
TimeSinceTopologyChange : 0d:0h:20m:56s 
TopologyChanges : 12 

DesignatedRoot : 8000.00d0.f821.a542 
RootCost : 200000 

RootPort : 23 


通过 以 上 测试 可 以 看 出 ,由 于 SW2 的 FO/1 端口 配置 了 BPDU Filter, 24 SW3 接 入 
到 FO/1 端口 后 , 收 到 了 BPDU 报 文 ,BPDU Filter 丢弃 了 收 到 的 BPDU 报 文 , 使 得 原 网 
络 拓扑 没有 受到 影响 。 

(9) 验证 BPDU Filter。 

为 了 更 清晰 地 验证 BPDU Filter 功能 , 现 将 一 台 PC 接 入 到 SWI 的 FO/1 端口 ,通过 
在 PC 上 捕获 报 文 ,可 以 看 到 SW1 正在 向 F0/1 发 送 BPDU 报 文 ,如 图 3-10 所 示 。 


[E Logical-Link control 
[Ə Spanning Tree Protocol 
Protocol Identifier: spanning Tree Protocol (0x0000) 
Protocol version Identifier: Rapid spanning Tree (2) 
BPDU Type: Rapid/Multiple spanning Tree (0x02) 
G BPDU flags: 0x7c (Agreement, Forwarding, Learning, Port Role: Designated) 
Root Identifier: 32768 / 00:d0:f8:21:a5:42 
Root Path Cost: 200000 
Bridge Identifier 32768 / 00:d0:f8:82:f4:al 
Port identifier: Ox8001 
Message Age: 1 
Max Age: 20 
Hello Time: 2 
Forward Delay: 15 
Version 1 Length: 0 


图 3-10 捕获 BPDU 报 文 


(10) 配置 BPDU Filter。 


SW1# configure 
SW1 (config) # interface fastEthernet 0/1 
SW1 (config-if) # spanning-tree portfast 
SW1 (config-if) # spanning-tree bpdufilter enable 
SW1 (config-if) #end 
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SW1# 


(11) 验证 测试 。 
在 PC] 上 将 无 法 捕获 到 BPDU RX. 


【参考 配置 】 


SW1# show running config 


Building configuration... 
Current configuration : 1272 bytes 


hostname SWl 


spanning-tree 

spanning-tree mode rstp 

interface FastEthernet 0/1 
spanning-tree bpdufilter enable 
spanning-tree portfast 

! 

interface FastEthernet 0/2 

H 

interface FastEthernet 0/3 

H 

interface FastEthernet 0/4 

H 

interface FastEthernet 0/5 

1 

interface FastEthernet 0/6 

1 

interface FastEthernet 0/7 

H 

interface FastEthernet 0/8 

i] 

interface FastEthernet 0/9 

1 


interface FastEthernet 0/10 


3.3 
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interface FastEthernet 0/11 
1 
interface FastEthernet 0/12 
! 
interface FastEthernet 0/13 
! 
interface FastEthernet 0/14 
1 
interface FastEthernet 0/15 
a 
interface FastEthernet 0/16 
L| 
interface FastEthernet 0/17 
和 
interface FastEthernet 0/18 
H 
interface FastEthernet 0/19 
? 
interface FastEthernet 0/20 
! 
interface FastEthernet 0/21 
! 
interface FastEthernet 0/22 
! 
interface FastEthernet 0/23 
switchport mode trunk 


! 
interface FastEthernet 0/24 
switchport mode trunk 


1 
interface GigabitEthernet 0/25 
1 
interface GigabitEthernet 0/26 
I 
interface GigabitEthernet 0/27 
;| 
interface GigabitEthernet 0/28 
! 
! 
! 
! 


line con 0 


[Eu 
line vty 0 4 
login 
! 
! 
End 
SW2# show running-config 


Building configuration... 
Current configuration : 1247 bytes 


hostname SW2 


! 

spanning tree 

spanning-tree mode rstp 

interface FastEthernet 0/1 
spanning-tree bpdufilter enable 

H 

interface FastEthernet 0/2 

E 

interface FastEthernet 0/3 

i 

interface FastEthernet 0/4 

I 

interface FastEthernet 0/5 

! 

interface FastEthernet 0/6 

H 

interface FastEthernet 0/7 

| 

interface FastEthernet 0/8 

3 

interface FastEthernet 0/9 

1 


interface FastEthernet 0/10 
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! 
interface FastEthernet 0/11 
! 
interface FastEthernet 0/12 
! 
interface FastEthernet 0/13 
! 
interface FastEthernet 0/14 
J 
interface FastEthernet 0/15 
J 
interface FastEthernet 0/16 
a 
interface FastEthernet 0/17 
i] 
interface FastEthernet 0/18 
a 
interface FastEthernet 0/19 
H 
interface FastEthernet 0/20 
! 
interface FastEthernet 0/21 
! 
interface FastEthernet 0/22 
! 
interface FastEthernet 0/23 
switchport mode trunk 


! 
interface FastEthernet 0/24 
switchport mode trunk 


! 
interface GigabitEthernet 0/25 
! 
interface GigabitEthernet 0/26 
H 
interface GigabitEthernet 0/27 
1 
interface GigabitEthernet 0/28 
1 
1 
1 


line con 0 


LE 
line vty 0 4 
login 
1 
1 
End 
SW3# show running- config 


Building configuration... 
Current configuration : 1208 bytes 


hostname SW3 


1 

spanning tree 

spanning tree mode rstp 
spanning tree mst 0 priority 4096 
interface FastEthernet 0/1 
! 

interface FastEthernet 0/2 
L 

interface FastEthernet 0/3 
b 

interface FastEthernet 0/4 
iu 

interface FastEthernet 0/5 
I 

interface FastEthernet 0/6 
H 

interface FastEthernet 0/7 
H 

interface FastEthernet 0/8 
d 

interface FastEthernet 0/9 
1 


interface FastEthernet 0/10 
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interface FastEthernet 0/11 
! 
interface FastEthernet 0/12 
a 
interface FastEthernet 0/13 
2 
interface FastEthernet 0/14 
H 
interface FastEthernet 0/15 
J 
interface FastEthernet 0/16 
" 
interface FastEthernet 0/17 
H 
interface FastEthernet 0/18 
! 
interface FastEthernet 0/19 
! 
interface FastEthernet 0/20 
和 
interface FastEthernet 0/21 
? 
interface FastEthernet 0/22 
! 
interface FastEthernet 0/23 
1 
interface FastEthernet 0/24 
E 
interface GigabitEthernet 0/25 
1 
interface GigabitEthernet 0/26 
H 
interface GigabitEthernet 0/27 
H 
interface GigabitEthernet 0/28 
1 
1 
1 
! 
1 
line con 0 
line vty 0 4 
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4.1 DHCP 攻击 与 防御 


【实验 名 称 】 

DHCP 攻击 与 防御 。 

【实验 目的 】 

使 用 交换 机 的 DHCP 监听 功能 增强 网 络 安全 性 。 
【背景 描述 】 


某 企 业 网 络 中 ,为 了 减少 网 络 编 址 的 复杂 性 和 手工 配置 IP 地 址 的 工作 量 , 使 用 了 
DHCP 为 网 络 中 的 设备 分 配 IP 地 址 。 但 网 络 管理 员 发 现 最 近 经 常 有 员工 抱怨 无 法 访问 
网 络 资源 ,经 过 故障 排查 后 ,发 现 客户 端 PC 通过 DHCP 获得 了 错误 的 IP 地 址 ,从 此 现象 
可 以 判断 出 网 络 中 可 能 出 现 了 DHCP 攻击 ,有 人 私自 架设 了 DHCP 服务 器 ( 伪 DHCP 服 
务 器 ) ,导致 客户 端 PC 不 能 获得 正确 的 TP 地 址 信息 ,以致 不 能 访问 网 络 资源 。 


【需求 分 析 】 

对 于 网 络 中 出 现 非法 DHCP 服务 器 的 问题 ,需要 防止 其 为 客户 端 分 配 IP 地 址 , 仅 允 
许 合法 的 DHCP 服务 器 提供 服务 。 交 换 机 的 DHCP 监听 特性 可 以 满足 这 个 要 求 ,阻止 
非法 服务 器 为 客户 端 分 配 IP 地 址 。 


【实验 拓扑 】 

图 4-1 所 示 网 络 拓 扑 ,是 某 企业 网 络 中 使 用 DHCP 为 网 络 中 设备 分 配 IP 地 址 拓扑 结 
构图 。 由 于 网 络 中 出 现 非法 DHCP 服务 器 问题 ,需要 使 用 DHCP 监听 特性 , 仅 允 许 合 法 
的 DHCP 服务 器 提供 服务 。 


【实验 设备 】 
三 层 交 换 机 1 台 ( 支 持 DHCP 监听 ); 二 层 交 换 机 1 台 ( 支 持 DHCP WW PC 3 台 
(其 中 2 台 需 安装 DHCP 服务 器 ) 。 


【预备 知识 

。 交换 机 转发 原理 。 

。 交换 机 基本 配置 。 

* DHCP 监听 原理 。 

DHCP(Dynamic Host Configuration Protocol ,动态 主机 配置 协议 ) 是 一 种 在 网 络 中 
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VLANIO0 
10.1.1.0/24 


101.1.1/24 


DHCP Client Rogue DHCP Server 


VLAN2 
172.16.1.0/24 


图 4-1 某 企 业 网 络 中 使 用 DHCP 为 网 络 设备 分 配 IP 拓扑 结构 图 


常用 的 动态 编 址 技术 ,用 于 简化 手工 配置 和 维护 地 址 的 工作 。DHCP 基于 Client/Server 
架构 ,为 客户 端 分 配 IP 地 址 和 提供 主机 配置 参数 。 

DHCP Snooping 技术 是 DHCP 安全 特性 ,通过 建立 和 维护 DHCP Snooping 绑 定 表 
过 滤 不 可 信任 的 DHCP 信息 ,这 些 信息 是 指 来 自 不 信任 区 域 的 DHCP 信息 。DHCP 
Snooping 绑 定 表 包 含 不 信任 区 域 的 用 户 MAC 地 址 、IP 地 址 、 租 用 期 和 VLAN-ID 接口 
等 信息 。 当 交换 机 开启 了 DHCP Snooping 后 ,会 对 DHCP 报 文 进 行 侦 听 ,并 可 以 从 接收 
到 的 DHCP Request 或 DHCP Ack 报 文中 提取 并 记录 IP 地 址 和 MAC 地址 信息 。 另 外 ， 
DHCP Snooping 允许 将 某 个 物理 端口 设置 为 信任 端口 或 不 信任 端口 。 信 任 端口 可 以 正 
常 接收 并 转发 DHCP Offer 报 文 , 而 不 信任 端口 会 将 接收 到 的 DHCP Offer 报 文 丢弃 。 
这 样 可 以 完成 交换 机 对 假冒 DHCP Server 的 屏蔽 作用 ,确保 客户 端 从 合法 的 DHCP 
Server 获取 IP 地 址 。 

DHCP Snooping 的 主要 作用 就 是 隔绝 非法 的 DHCP Server, 通 过 配置 非 信任 端口 建 
立 和 维护 一 张 DHCP Snooping 的 绑 定 表 , 这 张 表 一 是 通过 DHCP ACK 包 中 的 IP 和 
MAC 地 址 生成 的 ,二 是 可 以 手工 指定 。 这 张 表 是 后 续 DAI (dynamic arp inspect) 和 IP 
Source Guard 基础 。 这 两 种 类 似 的 技术 .是 通过 这 张 表 来 判定 IP 或 MAC 地 址 是 否 合 
法 ,来 限制 用 户 连 接 到 网 络 的 。 

在 全 局 模式 下 ,配置 DHCP Snooping 的 命令 为 : 


IP DHCP Snooping 
IP DHCP Snooping limit rate 10 
! 配置 DHCcP 包 的 转发 速率 ,超过 配置 在 接口 上 转发 速率 ,该 接口 就 关闭 ,默认 不 限制 
IP DHCP Snooping trust 
! 配置 这 个 端口 为 信任 端口 ,信任 端口 可 以 正常 接收 并 转发 DHCP Offer 报 文 ,不 记录 IP 
和 MAC 地 址 的 绑 定 ,默认 是 非 信任 端口 
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【实验 原理 】 

交换 机 的 DHCP 监听 特性 可 以 通过 过 滤 网 络 中 接 入 的 伪 DHCP( 非 法 的 .不 可 信和 的 ) 
发 送 的 DHCP 报 文 增强 网 络 安全 性 。DHCP 监听 还 可 以 检查 DHCP 客户 端 发 送 的 
DHCP 报 文 的 合法 性 ,防止 DHCP DoS 攻击 。 


【实验 步骤 】 

(D 配置 DHCP 服务 器 。 

将 两 台 PC 配置 为 DHCP 服务 器 ,一 台 用 做 合法 服务 器 , 另 一 台 用 做 伪 服 务 器 
(Rogue DHCP Server)。 可 以 使 用 Windows Server 配置 DHCP 服务 器 ,或 使 用 第 三 方 
DHCP 服务 器 软件 。 合 法 DACP 服务 器 中 的 地 址 池 为 172. 16. 1.0/24, 伪 DHCP 服务 器 
的 地 址 池 为 1. 1. 1.0/24。 

(2) SW2 基本 配置 ( 接 人 层 ) 。 


Switch# configure 

Switch (config) # hostname SW2 

SW2 (config) #vlan 2 

SW2 (config-vlan) # exit 

SW2 (config) # interface range fastEthernet 0/1-2 
SW2 (config-if- range) # switchport access vlan 2 
SW2 (config) # interface fastEthernet 0/24 

SW2 (config-if) # switchport mode trunk 

SW2 (config-if) #end 

SW2# 


(3) SW1 基本 配置 (分 布 层 )。 


Switch# configure 
Switch (config) # hostname SWl 
SW1 (config) # interface fastEthernet 0/24 
SW1 (config if) # switchport mode trunk 
SW1 (config if) #exit 
SW1 (config) #vlan 2 
SW1 (config-vlan) # exit 
SW1 (config) # interface vlan 2 
SW1 (config-if)#ip address 172.16.1.1 255.255.255.0 
SW] (config-if) # exit 
SW1 (config) #vlan 100 
SW1 (config-vlan) # exit 
SW1 (config) # interface vlan 100 
SW] (config-if)#ip address 10.1.1.2 255.255.255.0 
SW] (config-if) # exit 
SW1 (config) # interface fastEthernet 0/1 
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SW1 (config if)# switchport access vlan 100 
SW1 (config if) #end 
SW1# 


(4) 将 SW1 配置 为 DHCP Relay. 


SW1# configure 
SW1 (config) # service dhcp 
SW1 (config) # ip helper-address 10.1.1.1 
! 配置 ptcP 中 继 ,指明 DRCP 服务 器 地 址 
SW1 (config) #end 
SW1# 


(5) 验证 测试 。 

如 图 4-1 所 示 网 络 环境 ,确保 两 台 DHCP 服务 器 可 以 正常 工作 。 将 客户 端 PC 配置 
为 自动 获取 地 址 后 , 接 入 交换 机 端口 ,此 时 可 以 看 到 客户 端 从 伪 DHCP 服务 器 获得 了 错 
误 的 地 址 ,如 图 4-2 所 示 。 


Ethernet adapter 本 


ltek RIL813 


F2-DC-96-A4 


e Obtained 


Lease Expire 


图 4-2 客户 端 从 伪 DHCP 服务 器 获得 错误 地 址 


图 4-3 所 示 为 在 客户 端 上 使 用 Ethereal 捕获 的 报 文 ,可 以 看 到 ,客户 端 先 接收 到 了 伪 
DHCP 服务 器 发 送 的 DHCP Offer 报 文 ,后 收 到 通过 DHCP Relay 发 送 的 DHCP Offer 
报 文 。 根 据 通常 DHCP 协议 的 实现 ,客户 端 将 使 用 收 到 的 第 一 个 响应 报 文 (DHCP 
Offer) 中 的 信息 。 


No, -| Time Source Destination Protocol | Info 

1 0.000000 0.0.0.0 5.255.255 DHCP DHCP Discover - Transaction ID Oxe5166721 
2 0.000858 1.1.1.1 2 ICMP Echo (ping) request 

3 0.002351 10.1.1. Br ICMP Echo (ping) request 

4 0.501732 ICMP Echo (ping) request 

5 0.502822 ying) request 

6 1.002745 Transaction ID OxeS16f721 
7 1.003093 a Request - Transaction ID 0xe516f721 
81.003894 1.1.1.1 255.255.255.255 DHCP DHCP ACK Transaction ID 0xe516f721 
91.004165 [172.16.1.1 172.16.1.2 DHCP DHCP Offer Transaction ID Oxe516f721 
10 1.005812 AsustekC dc:96:a4 Broadcast ARP who has 7 Gratuitous ARP 

11 1.703921  AsustekC dc:96:a4 Broadcast ARP who has 1. 7 Gratuitous ARP 

2 


5 


.703887 AsustekC_dc:96:a4 Broadcast ARP who has 1.1. 


? Gratuitous ARP 


图 4-3 在 客户 端 使 用 Ethereal 捕获 报 文 
(6) 在 SW1 上 配置 DHCP 监听 。 


SW1# configure 


97 


第 4 章 网 络 接 入 安全 


SW1 (config) # ip dhcp snooping ! 开启 DHCP Snooping 功能 
SW1 (config) # interface fastEthernet 0/1 

SW1 (config-if) # ip dhcp snooping trust ! 配置 FO/1 4 trust 端口 
SW1 (config-if) #exit 

SW1 (config) # interface fastEthernet 0/24 

SW1 (config-if) # ip dhcp snooping trust ! 配置 F0/24 JJ trust 端口 
SW1 (config-if)4 end 

SW1# 


(7) 在 SW2 EEE DHCP 监听。 


SW2# configure 

SW2 (config) # ip dhcp snooping 

SW2 (config) # interface fastEthernet 0/24 
SW2 (config- if) # ip dhcp snooping trust 
SW2 (config if) #end 

SW2# 


(8) 验证 测试 。 
将 客户 端 之 前 获得 的 错误 IP 地 址 释放 (使 用 Windows 命令 行 ipconfig /release) ,再 


使 用 ipconfig /renew 重新 获取 地 址 ,可 以 看 到 客户 端 获取 到 了 正确 的 IP 地 址 ,如 图 4-4 
所 示 。 


ealtek RTL8139/818x Family 


18 
: 202 
281.106 .8.28 


图 4-4 客户 端 获取 到 正确 IP. 


由 于 配置 了 DHCP 监听 ,并 且 伪 DHCP 服务 器 连接 的 端口 为 非 信任 端口 ,所 以 交换 


MEF TH DACP 服务 器 发 送 的 响应 报 文 。 如 图 4-5 所 示 ,为 在 客户 端 上 使 用 Ethereal 
捕获 的 报 文 ,可 以 看 到 ,客户 端 只 接收 到 了 通过 DHCP Relay 发 送 的 DHCP Offer WX. 
未 接收 到 伪 DACP 服务 器 发 送 的 DHCP Offer 报 文 。 
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No. -| Time Source Destination Protocol | Info 

1 0.000000 0.0.0.0 255.255.255.255 DHCP DHCP Discover - Transaction ID 0xb76955a9 
2 0.003803 Fuji 21:23:42 .16.1.2? Tell 172.16.1.1 

3 1.005166 [172.16.1.1 172.16.1.2 DHCP DHCP offer]  - Transaction ID 0xb76955a9 
4 1.005541 0.0.0.0 255.255.255.255 DHCP DHCP Request - Transaction ID 0xb76955a9 
51.009046 172.16.1.1 172.16.1.2 DHCP DHCP ACK - Transaction ID 0xb76955a9 
6 1.011269 AsustekC dc:96:a4 Broadcast ARP who has 172.16.1.27 Gratuitous ARP 
71.011914 10.1.1.1 172.16.1.2 ICMP Echo (ping) request 

8 1.078342 Asustekc | :a4 Broadcast ARP who has 172.16.1.2? Gratuitous ARP 

9 2.078308 Asustekc | tad Broadcast ARP who has 172.16.1.2? Gratuitous ARP 


图 4-5 在 客户 端 使 用 Ethereal 捕获 报 文 
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【注意 事项 】 
DHCP 监听 只 能 配置 在 物理 端口 上 ,不 能 配置 在 VLAN 接口 上 。 


【参考 配置 】 


SW1# show running- config 


Building configuration... 

Current configuration : 1427 bytes 

1 

hostname SWl 

! 

i] 

vlan 1 

! 

vlan 2 

1 

vlan 100 

1 

和 

service dhcp 

ip helper-address 10.1.1.1 

ip dhcp snooping 

! 

1 

L 

interface FastEthernet 0/1 
switchport access vlan 100 
ip dhcp snooping trust 

EL 

interface FastEthernet 0/2 

! 

interface FastEthernet 0/3 

y 

interface FastEthernet 0/4 

i 

interface FastEthernet 0/5 

3 

interface FastEthernet 0/6 

i] 

interface FastEthernet 0/7 

i| 

interface FastEthernet 0/8 
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interface FastEthernet 0/9 
H 
interface FastEthernet 0/10 
! 
interface FastEthernet 0/11 
! 
interface FastEthernet 0/12 
D 
interface FastEthernet 0/13 
a 
interface FastEthernet 0/14 
Li 
interface FastEthernet 0/15 
‘ 
interface FastEthernet 0/16 
LH 
interface FastEthernet 0/17 
x 
interface FastEthernet 0/18 
! 
interface FastEthernet 0/19 
! 
interface FastEthernet 0/20 
! 
interface FastEthernet 0/21 
! 
interface FastEthernet 0/22 
H 
interface FastEthernet 0/23 
H 
interface FastEthernet 0/24 
switchport mode trunk 
ip dhcp snooping trust 
1 
interface GigabitEthernet 0/25 
3 
interface GigabitEthernet 0/26 
H 
interface GigabitEthernet 0/27 
H 
interface GigabitEthernet 0/28 
1 


interface VLAN 2 


ip address 172.16.1.1 255.255.255.0 


1 
interface VLAN 100 

ip address 10.1.1.2 255.255.255.0 
! 
line con 0 
line vty 0 4 

login 


SW2# sh running-config 


Building configuration... 

Current configuration : 1254 bytes 

H 

hostname SW2 

H 

vlan 1 

! 

vlan 2 

1 

! 

ip dhcp snooping 

1 

! 

interface FastEthernet 0/1 
switchport access vlan 2 

! 

interface FastEthernet 0/2 
switchport access vlan 2 

L 

interface FastEthernet 0/3 

! 

interface FastEthernet 0/4 

1 

interface FastEthernet 0/5 

3 

interface FastEthernet 0/6 

3 

interface FastEthernet 0/7 

1 


interface FastEthernet 0/8 
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interface FastEthernet 0/9 
! 

interface FastEthernet 0/10 
! 

interface FastEthernet 0/11 
! 

interface FastEthernet 0/12 
J 

interface FastEthernet 0/13 
d 

interface FastEthernet 0/14 
a 

interface FastEthernet 0/15 
a 

interface FastEthernet 0/16 
E 

interface FastEthernet 0/17 
H 

interface FastEthernet 0/18 
1 

interface FastEthernet 0/19 
! 

interface FastEthernet 0/20 
! 

interface FastEthernet 0/21 
L 

interface FastEthernet 0/22 
L 

interface FastEthernet 0/23 
L 

interface FastEthernet 0/24 

switchport mode trunk 
ip dhcp snooping trust 
1 


interface GigabitEthernet 0/25 


interface GigabitEthernet 0/26 


interface GigabitEthernet 0/27 


interface GigabitEthernet 0/28 


line con 0 
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4.2 ARP 攻击 与 防御 (动态 ARP 检测 ) 


【实验 名 称 】 
ARP 攻击 与 防御 (动态 ARP 检测 ) 。 


【实验 目的 】 
使 用 交换 机 的 DAI( 动 态 ARP 检测 ) 功 能 增强 网 络 安 全 性 。 


【背景 描述 】 

某 企 业 的 网 络 管理 员 发 现 最 近 经 常 有 员工 抱怨 无 法 访问 互联 网 ,经 过 故障 排查 后 ,发 
现 客户 端 PC 上 缓存 的 网 关 的 ARP 绑 定 条 目 是 错误 的 ,从 此 现象 可 以 判断 出 网 络 中 可 能 
出 现 了 ARP 欺骗 攻击 ,导致 客户 端 PC 不 能 获取 正确 的 ARP 条目, 以 致 不 能 访问 外 部 网 
络 。 如 果 通 过 交换 机 的 ARP 检查 功能 解决 此 问题 ,需要 在 每 个 接 入 端口 上 配置 地 址 绑 
定 ,工作 量 过 大 ,因此 考虑 采用 DAT 功能 解决 ARP 欺骗 攻击 的 问题 。 


【需求 分 析 】 

ARP 欺骗 攻击 是 目前 内 部 网 络 中 出 现 最 频繁 的 一 种 攻击 。 对 于 这 种 攻击 ,需要 检查 
网 络 中 ARP 报 文 的 合法 性 。 交 换 机 的 DAI 功能 可 以 满足 这 个 要 求 ,防止 ARP 欺骗 
攻击 。 

【实验 拓扑 】 

图 4-6 是 某 企业 网 络 中 配置 交换 机 的 DAI 功能 ,检查 网 络 中 ARP 报 文 的 合法 性 , 防 
JE ARP 欺骗 攻击 。 


【实验 设备 】 

二 层 交换 机 1 台 ( 支 持 DHCP 监听 与 DAD ;三 层 交换 机 1 台 ( 支 持 DHCP 监听 与 
DAD;PC 3 台 ( 其 中 1 台 需 安装 DHCP 服务 器 , 另 1 台 安装 ARP 欺骗 攻击 工具 
WinArpSpoofer( 测 试用 ))。 


【预备 知识 
”交换 机 转发 原理 。 
t 交换 机 基本 配置 。 
* DHCP 监听 原理 。 
* DAI 原理 。 
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VLANIOO 
10.1.1.0/24 


101.1.1/24 


DHCP Client/Attacker 


VLAN2 
172.16.1.0/24 


DHCP Client 


图 4-6 配置 交换 机 DAT By IE ARP 欺骗 攻击 


ARP 欺骗 是 一 种 利用 计算 机 病毒 导致 计算 机 网 络 无 法 正常 运行 的 计算 机 攻击 手段 。 
感染 ARP 欺骗 木马 的 计算 机 ,试图 通过 “ARP 欺骗 "手段 ,利用 ARP 协议 的 一 个 “缺陷 ”， 
免费 ARP 来 达到 欺骗 主机 上 面 的 网 关 的 ARP 表 项 ,截获 所 在 网 络 内 其 他 计算 机 的 通信 
信息 ,并 因此 造成 网 内 其 他 计算 机 的 通信 故障 。 

交换 机 的 DAT 技术 ,是 以 DHCP Snooping 的 绑 定 表 为 基础 ,检查 MAC 地 址 和 IP 地 
址 的 合法 性 。 在 交换 机 上 提供 IP 地 址 和 MAC 地 址 的 绑 定 ,并 动态 建立 绑 定 关系 。DAI 
以 DHCP Snooping 绑 定 表 为 基础 ,对 于 没有 使 用 DHCP 的 服务 器 个 别 机 器 ,采用 静态 添 
加 ARP access-list 实现 。 

如 今 很 多 交换 机 都 能 够 防止 ARP 攻击 核心 层 Gateway, 但 是 不 能 很 有 效 地 防止 各 
VLAN 间 的 攻击 。 防 止 VLAN 间 的 攻击 ,针对 VLAN, 对 于 同一 VLAN 内 的 接口 ,DAI 
配置 可 以 开启 也 可 以 关闭 DAI。 通 过 DAI 可 以 控制 某 个 端口 的 ARP 请 求 报 文 数量 ,这 
样 可 以 有 效 地 提高 网 络 的 安全 性 和 稳定 性 。 

由 于 DAI 检查 DHCP Snooping 绑 定 表 中 的 IP 和 MAC 对 应 关系 ,无 法 实施 中 间 人 
攻击 ,攻击 工具 失效 ,ARP inspection 是 用 来 检测 arp 请 求 的 ,防止 非法 的 ARP 请 求 。 认 
为 是 否 合法 的 标准 是 前 面 DHCP Snooping 时 建立 的 那 张 表 。 因 为 那 种 表 是 DHCP 
Server 正常 回应 时 建立 起 来 的 ,里 面包 括 的 是 正确 的 ARP 信息 。 如 果 这 个 时 候 有 ARP 
攻击 信息 ,利用 ARP inspection 技术 就 可 以 拦截 到 这 个 非法 的 ARP 数据 包 。 其 实 利用 
这 个 方法 ,还 可 以 防止 用 户 任意 修改 IP 地 址 ,造成 地 址 冲突 的 问题 。 

在 交换 机 的 全 局 模式 下 配置 DAI 的 方法 为 :ip arp inspection 

在 VLAN2 上 启用 DAI 的 方法 为 : ip arp inspection vlan 2 

配置 端口 为 监控 信任 端口 的 方法 是 在 指定 的 接口 模式 下 :ip arp inspection trust 

* ARP 欺骗 原理 。 
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【实验 原理 】 
交换 机 的 DAI 功能 可 以 检查 端口 收 到 的 ARP 报 文 的 合法 性 ,并 可 以 丢弃 非法 的 
ARP 报 文 ,防止 ARP 欺骗 攻击 。 


【实验 步骤 】 

(1) 配置 DHCP 服务 器 。 

将 一 台 PC 配置 为 DHCP 服务 器 ,可 以 使 用 Windows Server 配置 DHCP 服务 器 ,或 
使 用 第 三 方 DHCP 服务 器 软件 。DHCP 服务 器 中 的 地 址 池 为 172. 16. 1. 0/24。 

(2) SW2 基本 配置 及 DHCP 监听 配置 ( 接 人 层 ) 。 


Switch# configure 

Switch (config) # hostname SW2 
SW? (config) #vlan 2 

SW? (config-vlan) # exit 


SW2 (config) # interface range fastEthernet 0/1-2 
SW2 (config-if- range) # switchport access vlan 2 
SW2 (config-if- range) # exit 


SW2 (config) # interface fastEthernet 0/24 
SW2 (config-if) # switchport mode trunk 
SW2 (config if) #exit 


SW2 (config) # ip dhcp snooping 

SW2 (config) # interface fastEthernet 0/24 
SW2 (config-if) #ip dhcp snooping trust 
SW2 (config-if) #end 

SW2# 


(3) SW1 基本 配置 ,DHCP 监听 配置 及 DHCP Relay 配置 (分 布 层 ) 。 


Switch# configure 

Switch (config)#hostname SW1 

SW1 (config) # interface fastEthernet 0/24 
SW1 (config-if) # switchport mode trunk 
SW1 (config if) #exit 


SW1 (config) #vlan 2 

SW1 (config-vlan) # exit 

SW1 (config) # interface vlan 2 

SW1 (config-if)#ip address 172.16.1.1 255.255.255.0 
SW] (config-if) # exit 

SW1 (config) #vlan 100 

SW1 (config-vlan) # exit 
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SW1 (config) # interface vlan 100 

SW1 (config-if) #ip address 10.1.1.2 255.255.255.0 
SW1 (config-if) # exit 

SW1 (config) # interface fastEthernet 0/1 

SW1 (config-if) # switchport access vlan 100 


SW1 (config-if) # exit 

SW1 (config) # ip dhcp snooping ! 启用 DHCP Snooping 功能 

SW1 (config) # interface fastEthernet 0/1 

SW1 (config-if) # ip dhcp snooping trust ! 配置 F0/1 端口 为 Trust 端口 
SW1 (config-if) # exit 

SW1 (config) # interface fastEthernet 0/24 

SW1 (config-if) # ip dhcp snooping trust ! 配置 F0/24 端口 为 Trust 端口 


SW1 (config-if) # exit 


SW1 (config) # service dhcp 
SW1 (config) # ip helper-address 10.1.1.1 
! ACE DHCP 中 继 , 指 明 DHCP 服务 器 地 址 
SW1 (config) # end 
SW1# 


(4) 验证 测试 。 

确保 DHCP 服务 器 可 以 正常 工作 。 将 客户 端 PC1 和 PC2( 攻 击 机 ) 配 置 为 自动 获取 
地 址 后 , 接 入 交换 机 端口 ,此 时 可 以 看 到 从 DHCP 服务 器 获得 了 地 址 。 

PC1 地 址 配置 信息 ,获取 地 址 为 172. 16. 1.2, 如 图 4-7 所 示 


Ethernet adapter 本 


Connection-specific DNS Suffix 
Description Soe eer Realtek RTL8139/810x Family 
lernet NIC 
Physical Addre : 98-15-F2-DC-96-h4 
Dhep En. 
tion Enabled 


图 4-7 PC1 从 DHCP 服务 器 自动 获得 地 址 


PC2 地 址 配置 信息 ,获取 地 址 为 172. 16. 1.3, 如 图 4-8 所 示 。 


: NUIDIA nFi tworking Controller 


18:13:14 


J 10:13:14 


图 4-8 PC2 从 DHCP 服务 器 自动 获得 地 址 
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在 SW2 上 查看 DHCP 监听 绑 定 信息 。 
SW2# show ip dhcp snooping binding 


Total number of bindings: 2 


MacAddress IpAddress Lease(sec) Type VLAN Interface 
0015.f2dc.96a4 172.16.1.2 79364 dhcp-snooping 2 FastEthernet 0/1 
0016.d393.22c6 172.16.1.3 85420 dhcp-snooping 2 FastEthernet 0/2 


(5) 验证 测试 。 


使 用 ping 命令 验证 设备 之 间 的 连通 性 ,保证 可 以 互通 。 查 看 PCI 机 本 地 的 ARP 2X 


存 ,ARP 表 中 存 有 正确 的 网 关 的 IP 与 MAC 地 址 绑 定 ,如 图 4-9 所 示 。 


C:\>ping 172.16.1.1 


Pinging 172.16.1.1 w 


tatistics for 17 
Packets: Sent eived = 4, 
imate round trip times in milli 


Minimum = Üns, Maximum = ins, Average 


(6) 在 攻击 机 上 运行 WinArpSpoofer 软件 后 ,界面 显示 如 图 4-10 所 示 。 


Untitled - WinArpSpoof v0.5.3 lolx 
r Ik 1 1 About LveUp 
TP Address ur LETTER] em Traffic Recy Tri 
xi 
Adapter | spoofing | 
Select a Network Device 
Adopter: [Reaktek RTLB139 Famdy PCI Fast Ethernet NIC - A Z 
T Address: 172.1612 
Subnet Mask: EE 
Defaut Gateway: Voll ———— 
MAC Address: [ — GiSF20C9-M O 
GIW MAC Address: 000-621-4543 
sl 一 一 一- —————— TS 
[Tr1T14/07 17:54:36] — | — — 
[11/14/07 17:54:46] This [Ee c 
加 


Ready (00:00:00 


图 4-10 攻击 机 上 运行 WinArpSpoofer 
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在 Adapter 选项 卡 中 ,选择 正确 的 网 卡 后 ,WinArpSpoofer 会 显示 网 卡 的 IP 地 址 、 拖 
码 、 网 关 、MAC 地 址 以 及 网 关 的 MAC 地 址 信息 。 
(7) 在 WinArpSpoofer 界面 中 选择 Spoofing 选项 卡 , 界 面 显示 如 图 4-11 所 示 。 


图 4-11 攻击 机 上 运行 WinArpSpoofer 


在 Spoofing 选项 卡 中 ,取消 对 Act as a Router(or Gateway) while spoofing. 复 选 框 
的 勾 选 , 如 果 选 中 ,软件 还 将 进行 ARP 中 间 人 攻击 。 配 置 完毕 后 , 单 击 OK 按钮 。 

(8) 使 用 WinArpSpoofer 进行 扫描 。 

单 击 工具 栏 中 的 Scan 按钮 ,软件 将 会 扫描 网 络 中 的 主机 ,并 获取 其 IP 地 址 、MAC 地 
址 等 信息 ,如 图 4-12 所 示 。 


+2 untitled 


172.16.1.2 
172.16.1.3 
RÀ 172.16.1.1 


图 4-12 攻击 机 上 运行 WinArpSpoofe 进行 扫描 
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(9) 进行 ARP 欺骗 。 
单 击 工 具 栏 中 的 Start 按钮 ,软件 将 进行 ARP 欺骗 攻击 ,如 图 4-13 所 示 。 


itled - WinArpSpoof vi 


D Biz 


E 
Scen A L4 Options About LiveUp 


gH 


EXC 172.16.1.2 00-15-F2-DC-96-A4 This 
回 172.16.1.3 00-16-D3-93-22-C6 Block 
回 172.16.1.1 00-D0-F8-21-A5-43 Gateway 


o88 
ooo 


[11/15/07 10:19:25] This program is freeware, so you can use and redistribute freely. 


[11/15/07 10:19:30] Start scanning! 

[11/15/07 10:19:38] Total 3 active hosts of 254 on LAN. 

[11/15/07 10:19:38] Completed scanning! 

[11/15/07 10:20:44] Start spoofing! 

[11/15/07 10:20:44] IP-forwarding is off. r- 


Ready an e| er p] 
图 4-13 攻击 机 上 运行 WinArpSpoofe 进行 攻击 


(10) 验证 测试 1。 

通过 使 用 Ethereal 捕获 攻击 机 发 出 的 报 文 , 可 以 看 出 攻击 机 发 送 了 经 过 伪造 的 ARP 
应 答 (Reply) 报 文 ,目的 MAC 地 址 为 PCI 的 MAC 地 址 (0016. D393. 22C6)。 攻 击 者 “ 声 
称 ” 网 关 (IP 地 址 为 172. 16. 1. 1) 的 MAC 地 址 为 自己 的 MAC 地 址 (0015. F2DC. 96A4), 
并 “声称 ”自己 (IP 地 址 为 172. 16. 1.2) 的 MAC 地 址 为 网 关 的 MAC 地 址 (00D0. F821. 
A543) ,如 图 4-14 所 示 。 


ASUStekC gE: 967a4 
Asustekc_dc:96:a4 


AsustekC_dc:96:a4 
AsustekC_dc:96:a4 
AsustekC_dc:96:a4 
AsustekC_dc:96:a4 
AsustekC_dc:96:a4 
AsustekC dc:96:a4 
AsustekC dc:96:24 
AsustekC dc:96:a4 
AsustekC dc:96:a4 
Asustekc dc:96:34 
AsustekC dc:96:34 


s Ethernet II, Src: AsustekC dc:96:a4 (00:15:f2:dc:96:a4), Dst: wistron 93:22:c6 (00:16:d3:93:22:c6) 


Hardware type: Ethernet (0x0001) 
Protocol type: IP (0x0800) 
Hardware size: 6 

Protocol size: 4 


Esa reply (0x0002) 


Sender WAC address: Asustekc dc:96:34 (00:15:T2:dc:96:34) 
Sender IP address: 172.16.1.1 (172.16.1.1) 
Target MAC address: wistron 93:22:c6 (00:16:43:93:22:c6) 
Target IP address: 0.0.172.16 (0.0.172.16) 


图 4-14 Ethereal 捕获 攻击 机 发 出 报 文 


OD 验证 测试 2 。 
使 用 PC1 ping 网 关 的 地 址 ,发 现 无 法 ping 通 。 查 看 PCI 的 ARP 缓存 ,可 以 看 到 
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ARP 表 , 表 中 的 条 目 为 错误 的 绑 定 , 即 网 关 
,如 图 4-15 所 示 。 


4 《198 


图 4-15 


(12) 配置 DAI。 
在 SW2 上 对 于 VLAN2 配置 DAI, 防 止 VLAN2 中 的 主机 进行 ARP 欺骗 。 


SW2# configure 

SW2 (config)# ip arp inspection 

SW2 (config) # ip arp inspection vlan 2 ! 在 VLAN2 上 启用 DAT 

SW2 (config) # interface £0/24 

SW2 (config-if)# ip arp inspection trust ! 配置 F0/24 端口 为 监控 信任 端口 
SW2 (config if)#end 

SW2# 


(13) 验证 测试 3。 

启用 了 ARP 检查 功能 后 , 当 交 换 机 端口 收 到 非法 ARP 报 文 后 ,会 将 其 丢弃 。 这 时 
在 PC 上 查看 ARP 缓存 ,发现 ARP 表 中 的 条 目 是 正确 的 ,并 且 PCI 可 以 ping 通 网 关 。 
注意 ,由 于 PC 之 前 缓存 了 错误 的 ARP 条 目 , 所 以 需要 等 到 错误 条 目 超时 或 使 用 arp-d fit 
令 进 行 手 动 删 除 之 后 ,PC1 才能 解析 出 正确 的 网 关 MAC 地 址 ,如 图 4-16 所 示 o 


图 4-16 在 PC 上 查看 ARP 缓存 
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【注意 事项 】 


4.2 ARP 攻击 与 防御 (动态 ARP 检测 ) 


。 DHCP 监听 只 能 配置 在 物理 端口 上 ,不 能 配置 在 VLAN 接口 上 。 

。 DAI 只 能 配置 在 物理 端口 上 ,不 能 配置 在 VLAN 接口 上 。 

。 如 果 端 口 所 属 的 VLAN 启用 了 DAI, 并 且 为 Untrust 端口 , 当 端 口 收 到 ARP 报 
文 后 ,车 查找 不 到 DHCP 监听 表 项 , 则 丢弃 ARP 报 文 , 造 成 网 络 中 断 。 


* WinArpSpoofer 软件 仅 可 用 于 实验 。 


【参考 配置 】 


SW1# show running config 


Building configuration... 


Current configuration : 1427 bytes 


! 
hostname SWl 

! 

H 

vlanl 

vlan2 

L 

vlan 100 

! 

service dhcp 

ip helper-address 10.1.1.1 


ip dhcp snooping 
1 


! 

interface FastEthernet 0/1 
switchport access vlan 100 
ip dhcp snooping trust 

interface FastEthernet 0/2 

! 

interface FastEthernet 0/3 

1 

interface FastEthernet 0/4 

H 

interface FastEthernet 0/5 

H 

interface FastEthernet 0/6 

! 


interface FastEthernet 0/7 
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interface FastEthernet 0/8 
! 
interface FastEthernet 0/9 
! 
interface FastEthernet 0/10 
! 
interface FastEthernet 0/11 
H 
interface FastEthernet 0/12 
a 
interface FastEthernet 0/13 
H 
interface FastEthernet 0/14 
H 
interface FastEthernet 0/15 
1 
interface FastEthernet 0/16 
1 
interface FastEthernet 0/17 
! 
interface FastEthernet 0/18 
! 
interface FastEthernet 0/19 
! 
interface FastEthernet 0/20 
L 
interface FastEthernet 0/21 
H 
interface FastEthernet 0/22 
t 
interface FastEthernet 0/23 
! 
interface FastEthernet 0/24 

switchport mode trunk 


ip dhcp snooping trust 
H 
interface GigabitEthernet 0/25 
H 
interface GigabitEthernet 0/26 
a 
interface GigabitEthernet 0/27 
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interface GigabitEthernet 0/28 
1 
interface VLAN 2 
ip address 172.16.1.1 255.255.255.0 
! 
interface VLAN 100 
ip address 10.1.1.2 255.255.255.0 
1 
! 
! 
line con 0 
line vty 04 
login 


SW2# show running-config 


Building configuration... 
Current configuration : 1325 bytes 
H 


hostname SW2 


ip dhcp snooping 

! 

L 

ip arp inspection vlan 2 

ip arp inspection 

1 

1 

1 

4 

interface FastEthernet 0/1 
switchport access vlan 2 

I 

interface FastEthernet 0/2 


switchport access vlan 2 
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! 
interface FastEthernet 0/3 

! 

interface FastEthernet 0/4 

! 

interface FastEthernet 0/5 

! 

interface FastEthernet 0/6 

! 

interface FastEthernet 0/7 

J 

interface FastEthernet 0/8 

| 

interface FastEthernet 0/9 
interface FastEthernet 0/10 
E] 

interface FastEthernet 0/11 
L 

interface FastEthernet 0/12 
! 

interface FastEthernet 0/13 
! 

interface FastEthernet 0/14 
! 

interface FastEthernet 0/15 
! 

interface FastEthernet 0/16 
E 

interface FastEthernet 0/17 
i 

interface FastEthernet 0/18 
L 

interface FastEthernet 0/19 
! 

interface FastEthernet 0/20 
H 

interface FastEthernet 0/21 
3 

interface FastEthernet 0/22 
:| 

interface FastEthernet 0/23 
d 

interface FastEthernet 0/24 
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switchport mode trunk 


ip arp inspection trust 

ip dhcp snooping trust 
interface GigabitEthernet 0/25 
! 
interface GigabitEthernet 0/26 
! 
interface GigabitEthernet 0/27 
1 


interface GigabitEthernet 0/28 
! 
! 
! 
! 
1 


line con 0 
line vty 0 4 
login 


end 


4.3 ”利用 接 入 层 802. 1x 安全 网 络 接 入 


【实验 名 称 】 
利用 接 入 层 802. 1x 安全 网 络 接 入 。 


【实验 目的 】 
使 用 交换 机 的 802. 1x 功能 实现 安全 的 网 络 接 入 。 


【背景 描述 】 

某 企业 的 网 络 管理 员 为 了 防止 有 公司 外 部 的 用 户 将 计算 机 接 入 到 公司 网 络 中 ,造成 
公司 信息 资源 受到 损失 ,希望 员工 的 计算 机 在 接 人 到 公司 网 络 之 前 进行 身份 验证 ,只 有 具 
有 合法 身份 凭证 的 用 户 才 可 以 接 入 到 公司 网 络 。 

【需求 分 析 】 

实现 网 络 中 基于 端口 的 认证 ,交换 机 的 802. 1x 特性 可 以 满足 这 个 要 求 。 只 有 用 户 认 
证 通过 后 交换 机 端口 才 会 “打开 ”, 允 许 用 户 访问 网 络 资源 。 

【实验 拓扑 】 


图 4-17 所 示 网 络 拓扑 ,是 某 企业 网 络 中 ,配置 交换 机 的 802. 1x 特性 ,保证 只 有 合法 
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用 户 认证 通过 后 交换 机 端口 才 会 "打开 ”, 人 允许 用 户 访问 网 络 资源 ,实现 网 络 防范 安全 。 


NZ Distribution Layer 


F0/24 RADIUS Server 
o 192.168.1.254 


Access Layer 


PCI PC2 
802.1x Client 192.168.1.2/24 
192.168.1.1/24 


图 4-17 某 企业 网 配置 交换 机 802. 1x 拓扑 


【实验 设备 】 

交换 机 1 台 ;PC 2 台 ( 其 中 1 台 安 装 802. 1x 客户 端 ,本 实验 使 用 锐 捷 802. 1x 客户 端 
软件 ); RADIUS 服务 器 1 台 ( 支 持 标 准 RADIUS 协议 的 RADIUS 服务 器 ,本 例 中 使 用 
第 三 方 RADIUS 服务 器 软件 WinRadius ,在 实际 应 用 环境 中 ,推荐 使 用 锐 捷 SAM 系统 作 
为 RADIUS 服务 器 ,以 支持 更 多 的 高 级 扩展 应 用 ) 。 


【预备 知识 】 

。 交换 机 转发 原理 。 

。 交换 机 基本 配置 。 

* 802. Ix 原理 。 

802. 1x 协议 是 由 ( 美 ) 电 气 与 电子 工程 师 协 会 提出 ,完成 标准 化 的 一 个 符合 IEEE 
802 协议 集 的 局 域 网 接 入 控制 协议 ,其 全 称 为 基于 端口 的 访问 控制 协议 。 它 能 够 在 利用 
IEEE 802 局 域 网 优势 的 基础 上 ,提供 一 种 对 连接 到 局 域 网 的 用 户 进行 认证 和 授权 的 手 
段 ,达到 接受 合法 用 户 接 入 ,保护 网 络 安全 的 目的 。 通 过 802. 1x 协议 通过 的 认证 ,又 称 
EAPOE 认证 。 

802. 1x 协议 起 源 于 802. 11 协议 ,后 者 是 标准 的 无 线 局 域 网 协议 ,802. 1x 协议 的 主 
要 目的 是 为 了 解决 无 线 局 域 网 用 户 的 接 入 认证 问题 。 有 线 局 域 网 通过 固定 线路 连接 组 
建 , 计 算 机 终端 通过 网 线 接 人 固定 位 置物 理 端 口 , 实 现 局 域 网 接 人 ,这 些 固定 位 置 的 物理 
端口 ,构成 有 线 局 域 网 的 封闭 物理 空间 。 但 是 ,由 于 无 线 局 域 网 的 网 络 空间 具有 开放 性 和 
终端 可 移动 性 ,因此 很 难 通过 网 络 物理 空间 来 界定 终端 是 否 属于 该 网 络 , 因 此 如 何 通 过 端 
口 认证 ,来 防止 其 他 公司 的 计算 机 接 入 本 公司 无 线 网 络 ,就 成 为 一 项 非常 现实 的 问题 ， 
802. 1x 正 是 基于 这 一 需求 而 出 现 的 一 种 认证 技术 。 

随 着 宽带 以 太 网 建设 规模 的 迅速 扩大 ,网 络 上 原 有 的 认证 系统 已 经 不 能 很 好 地 适应 
用 户 数量 急剧 增加 和 宽带 业务 多 样 性 的 要 求 。IEEE 802. 1x 协议 对 认证 方式 和 认证 体系 
结构 进行 了 优化 ,解决 了 传统 PPPoE 和 Web/Portal 认证 方式 带 来 的 问题 ,更 适合 在 宽带 
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以 太 网 中 的 使 用 。 

IEEE 802. 1x 称 为 基于 端口 的 访问 控制 协议 (Port based network access control 
protocol) 。IEEE 802. 1x 协议 的 体系 结构 包括 三 个 重要 的 部 分 :Supplicant System( 客 户 
iit) .Authenticator System GAIE R) M Authentication Server System( 认 证 服务 器 ) 。 

客户 端 系统 一 般 为 一 个 用 户 终端 系统 ,该 终端 系统 通常 要 安装 一 个 客户 端 软件 ,用户 
通过 启动 这 个 客户 端 软件 发 起 IEEE 802. 1x 协议 的 认证 过 程 。 为 支持 基于 端口 的 接 人 
控制 ,客户 端 系 统 需 支持 EAPOL(Extensible Authentication Protocol Over LAN) HhiX. 

认证 系统 通常 为 支持 IEEE 802. 1x 协议 的 网 络 设备 。 该 设备 对 应 于 不 同 用 户 的 端 
口 (可 以 是 物理 端口 ,也 可 以 是 用 户 设备 的 MAC diht, VLAN, IP 等 ), 有 两 个 逻辑 端口 : 
受 控 (controlled Port) 端 口 和 不 受 控 端口 (uncontrolled Por) 。 不 受 控 端 口 始终 处 于 双向 
连通 状态 ,主要 用 来 传递 EAPOL 协议 帧 ,可 保证 客户 端 始终 可 以 发 出 或 接收 认证 。 受 控 
端口 只 有 在 认证 通过 的 状态 下 才 打 开 , 用 于 传递 网 络 资源 和 服务 。 受 控 端口 可 配置 为 双 
向 受 控 和 仅 输 入 受 控 两 种 方式 ,以 适应 不 同 的 应 用 环境 。 如 果 用 户 未 通过 认证 , 则 受 控 端 
口 处 于 未 认证 状态 , 则 用 户 无 法 访问 认证 系统 提供 的 服务 。 

认证 服务 器 通常 为 RADIUS 服务 器 ,该 服务 器 可 以 存储 有 关 用 户 的 信息 ,例如 用 户 所 属 
的 VLAN,CAR 参数 ,优先 级 、 用 户 的 访问 控制 列表 等 。 当 用 户 通 过 认证 后 ,认证 服务 器 会 把 用 
户 的 相关 信息 传递 给 认证 系统 ,由 认证 系统 构建 动态 的 访问 控制 列表 ,用 户 的 后 续 流 量 就 将 接 
受 上 述 参数 的 监管 。 认 证 服务 器 和 RADIUS 服务 器 之 间 通 过 EAP 协议 进行 通信 。 

值得 注意 的 是 ,在 IEEE 802. 1x 协议 中 的 “可 控 端口 "与 “ 非 可 控 端 口 " 是 逻辑 上 的 理 
解 ,设备 内 部 并 不 存在 这 样 的 物理 开关 。 对 于 每 个 用 户 而 言 ,IEEE 802. 1x 协议 均 为 其 建 
立 一 条 逻辑 的 认证 通道 ,该 逻辑 通道 其 他 用 户 无 法 使 用 ,不 存在 端口 打开 后 被 其 他 用 户 利 
用 的 问题 。 

IEEE 802. 1x 协议 的 技术 特点 如 下 。 

CL) 协议 实现 简单 。IEEE 802. 1x 协议 为 二 层 协议 ,不 需要 到 达 三 层 , 对 设备 的 整体 
性 能 要 求 不 高 ,可 以 有 效 降低 建 网 成 本 。 

(2) 认证 和 业务 分 离 。IEEE 802. 1x 的 认证 体系 结构 中 采用 了 “可 控 端 口 ”" 和 “不 可 
控 端 口 ” 的 逻辑 功能 ,从 而 可 以 实现 业务 与 认证 的 分 离 。 用 户 通 过 认证 后 ,业务 流 和 认证 
流 实现 分 离 ,对 后 续 的 数据 包 处 理 没 有 特殊 要 求 ,业务 可 以 很 灵活 ,尤其 是 在 开展 宽带 组 
播 等 方面 的 业务 有 很 大 的 优势 ,所 有 业务 都 不 受 认证 方式 限制 。 

(3) 和 其 他 认证 方式 的 比较 。IEEE 802. 1x 协议 虽然 源 于 IEEE 802. 11 无 线 以 太 网 
(EAPOW) ,但 是 , 它 在 以 太 网 中 的 引入 解决 了 传统 的 PPPoE 和 Web/Portal 认证 方式 带 
来 的 问题 ,消除 了 网 络 瓶颈 ,减轻 了 网 络 封装 开销 ,降低 了 建 网 成 本 。 


【实验 原理 】 

802. 1x 协议 是 一 种 基于 端口 的 网 络 接 入 控制 (Port Based Network Access Control) 
协议 。“ 基 于 端口 的 网 络 接 入 控制 * 指 在 局 域 网 接 入 设备 的 端口 级 别 对 所 接 入 的 设备 进行 
认证 和 控制 。 如 果 连 接 到 端口 上 的 设备 能 够 通过 认证 , 则 端口 就 被 开放 ,终端 设备 就 被 允 
许 访问 局 域 网 中 的 资源 ;如 果 连 接 到 端口 上 的 设备 不 能 通过 认证 , 则 端口 就 相当 于 被 关 
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闭 , 使 终端 设备 无 法 访问 局 域 网 中 的 资 
【实验 步骤 】 
(1) 验证 网 络 连 通 性 。 
按照 拓扑 配置 PCI,PC2,RADIUS 服务 器 的 IP 地 址 ,在 PC1 上 ping PC2 的 地 址 , 验 
证 PCI 与 PC2 的 网 络 连 通 性 ,可 以 ping 通 , 如 图 4-18 所 示 。 


C:\Documents and Settings \Administrator>ping 192. 


Pinging 192.168.1.2 with 3 


tatistic 
kets: 
mate r trip times in milli 
Mininum ws, Maximum = Ons, Av 


图 4-18 测试 网 络 连通 
(2) 配置 交换 机 802. 1x 认证 。 


Switch# configure 
Switch (config) # aaa new-model 
Switch (config) # aaa authentication dotlx ruijie group radius 
Switch (config) # dotlx authentication ruijie 
Switch (config) # radius-server host 192.168.1.254 
Switch (config) # radius-server key 12345 
! 此 处 配置 的 密 钥 要 与 RADIUS 服务 器 上 配置 的 一 臻 


Switch (config) # interface vlan 1 
Switch (config if) #ip address 192.168.1.200 255.255.255.0 
Switch (config if) # exit 


Switch (config) # interface fastEthernet 0/1 

Switch (config if) # dotlx port-control auto 
! 启用 F0/1 端 口 的 802. 1x 认证 

Switch (config if)#end 

Switch# 


(3) 验证 测试 。 
此 时 用 PCI ping PC2 的 地 址 ,如 图 4-19 所 示 。 


Settings \Administrator>ping 192.168.1. 


with 32 bytes of data: 


图 4-19 配置 认证 后 测试 网 名 
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于 FO/1 端口 启用 了 802. 1x 认证 ,在 PCI 没有 认证 的 情况 下 ,无 法 访问 网 络 。 
(4) 配置 RADIUS 服务 器 。 
运行 WinRadius 服务 器 ,并 添加 账户 信息 ,如 图 4-20 所 示 。 


za. SEMESTER 

j RES WnRadus MESCSIFRES , COVDRETST912 RRA 
SEE 目 14 时 43 分 13 秒 。。。 winRadus IEG SH NAS AY request IB B. DORAL » INES Nas Re 
HER 
SOR. 


退出 他 


到 
添加 账号 [iei pu] ee 


图 4-20 添加 WinRadius 服务 器 账户 信息 


设置 账户 信息 ,用 户 名 为 test, 密 码 为 testpass, 如 图 4-21 所 示 。 


x 
HPB: [es 
@B: ftestpass 
Sap o 
地 直 [ 
Bie: [oo 分 钱 


到 期 日 : | 


意 : mjdd 表 示 到 期 日: 数字 表示 从 第 一 次 
EAS 的 有 效 天 数 : 空白 表示 永 不 过 期 - 


Rt: 
CHHRHP — c 后 付费 用 户 
iw: [EHWSR 可 


xm | 


图 4-21 配置 WinRadius 服务 器 账户 信息 


设置 RADIUS 服务 器 系统 属性 ,如 图 4-22 所 示 。 

设置 RADIUS 服务 器 的 密 钥 ,要 与 交换 机 上 配置 的 秘 钥 保 持 一 致 ;验证 端口 号 和 计 
费 端口 号 都 保持 默认 的 标准 端口 号 ,如 果 设 置 其 他 的 端口 号 ,也 需要 在 交换 机 上 的 
RADIUS 服务 器 配置 中 进行 相应 配置 .如 图 4-23 所 示 。 

(5) 启用 802. 1x 客户 端 进行 验证 。 

在 PC1 上 启动 锐 捷 802. 1x 客户 端 ,输入 用 户 名 (testy) 和 密码 (testpass) , 单 击 * 连 接 ” 
按钮 进行 认证 ,如 图 4-24 所 示 。 
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WinRadius 服务 器 已 经 正确 启动 ( 认证 篇 口 为 1812 , 计 费 端口 为 1 
WinRadius 正在 等 待 NAS 的 request 消息 ， 加 果 没 有 ,请 检查 NA5 配 
添加 账号 成 功 


Bounces mm men 


E 
[pes pef pf 


图 4-22 配置 WinRadius 服务 器 系统 属性 


Ruijie Supplicant 


TIPP 
PT II 
ETT as 


NAS d 91: I M APS [ed ——  — —— — 
认证 端口: [1912 密码 [or 


img: [1615 语言 [ex E 
r 在 系统 启动 时 自动 加 载 FA [Realtek RTLs139/810x Family Fast Æ 


paket aes ot 
Supplicant 3.10 

ox | me | zene] em | 

图 4-23 设置 RADIUS 服务 器 的 密 钥 图 4-24 启动 锐 捷 802. 1x 客户 端 程序 


认证 成 功 后 ,在 Windows 右 下 角 的 状态 栏 中 显示 认证 成 功 ,如 图 4-25 所 示 。 
图 4-26 为 在 PCI 上 捕获 的 802. 1x 认证 过 程 (EAP-MD5 认证 方式 ) 的 报 文 。 


_ 
se, Identity [RFCS/48) 
Request, MoS-challenge [RFC3748] 
Response, MD5-Challenge [RFC3748] 

Success 


er: 001311000000001311006900000000000000000000000000. 
日 802.4% Authentication 
version: 1 


5 
ble authentication Protocol 
Code: Request (1) 


Id: 1 
wf 9. s c^ [0] uz Tei identity [RFc3748] GD 
图 4-25 认证 成 功 标识 图 4-26 ”捕获 的 802. 1x 认证 报 文 


(6) 验证 测试 。 
fr PCI 上 ping PC2 的 IP 地址 ,由 于 通过 了 802. 1x 认证 ,Fo/l 端口 被 “打开 ”,PC1 


tj PC2 可 以 ping 通 , 如 图 4-27 所 示 。 
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C:\Documents and Settings\hdninistrator?ping 192. 


Pinging 192 


图 4-27 测试 连通 性 成 功 
查看 交换 机 的 802. 1x 认证 状态 ,可 以 看 到 PCI 已 通过 认证 。 


Switch# show dotlx summary 
ID MAC Interface VLAN Auth State Backend State Port-Status User Type 


14 0015.f2dc.96a4 Fa0/1 1 Authenticated Idle Authed static 
Switch# show dotlx user id 14 


User name: test 

User id: 14 

Type: static 

Mac address is 0015.f2dc.96a4 
Vlan id is 1 

Access from port Fa0/1 

Time online: Odays Oh 0ml0s 
User ip address is 192.168.1.1 
Max user number on this port is 6000 
Start accounting 

Permit proxy user 

Permit dial user 


IP privilege is 0 

(7) 注销 802. 1x 认证 。 

在 如 图 4-25 中 的 连接 中 ,选择 认证 连接 , 右 击 选择“ 断 开 连 接 ? 项 ,注销 802. 1x 认 
图 4-28 为 在 PCI 上 捕获 的 802. 1x 注销 过 程 的 报 文 。 

【注意 事项 】 

在 认证 过 程 中 ,需要 保证 交换 机 与 RADIUS 服务 器 之 间 可 达 。 

【参考 配置 】 


Switch# show running config 


Building configuration... 
Current configuration : 1367 bytes 
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Failure 


[3 Frame 1 (1000 bytes on wire, 1000 bytes captured) 
iS Ethernet II, src: O 5:f2:di 


coo f8 E 
B Source: 2:dc:96:a4 (00:15:f2:dc:96: P 
Type: 802.1x Authentication (0x888e) 
Trailer: FFFF3777FFFCEA7FC7000000FFFFFFFFFFFFFFFFFFFA9500. . . 
Frame check sequence: 0x00000000 [incorrect, should be Oxdb3c537a] 
日 802.1x Authentication 
version: 1 
Type: Logoff (2) 
Length: 0 


6:a4 (00:15: fas ms 96:24), Dst: 00:d0:f8:82:f4:a1 
ral) 


图 4-28 PCI 上 捕获 802. 1x 注销 过 程 报 文 


hostname Switch 
1 


aaa newmodel 
! 


aaa authentication dotlx ruijie group radius 


radius-server host 192.168.1.254 
radius-server key 7 0549546d577a 


dotlx authentication ruijie 
interface FastEthernet 0/1 


dotlx port-control auto 
! 


interface FastEthernet 0/2 
! 


interface FastEthernet 0/3 


interface FastEthernet 0/4 


interface FastEthernet 0/5 


interface FastEthernet 0/6 


! 

interface FastEthernet 0/7 

! 

interface FastEthernet 0/8 

! 

interface FastEthernet 0/9 

! 

interface FastEthernet 0/10 
J 

interface FastEthernet 0/11 
a 

interface FastEthernet 0/12 
a 

interface FastEthernet 0/13 
i| 

interface FastEthernet 0/14 
a 

interface FastEthernet 0/15 
L 

interface FastEthernet 0/16 
! 

interface FastEthernet 0/17 
! 

interface FastEthernet 0/18 
! 

interface FastEthernet 0/19 
L 

interface FastEthernet 0/20 
L 

interface FastEthernet 0/21 
L 

interface FastEthernet 0/22 
L 

interface FastEthernet 0/23 
! 

interface FastEthernet 0/24 
a 

interface GigabitEthernet 0/25 
3 

interface GigabitEthernet 0/26 
J 

interface GigabitEthernet 0/27 
1 


interface GigabitEthernet 0/28 


B3 AREAS SSA mm 
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1 
interface VLAN 1 
ip address 192.168.1.200 255.255.255.0 


1 

! 

line con 0 

line vty 04 
login 
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【实验 名 称 】 
利用 分 布 层 802. 1x 安全 网 络 接 入 。 


【实验 目的 】 
使 用 交换 机 的 802. 1x 功能 安全 网 络 接 入 。 


【背景 描述 】 

某 企业 的 网 络 管理 员 为 了 防止 有 公司 外 部 的 用 户 将 计算 机 接 入 到 公司 网 络 中 ,造成 
公司 信息 资源 受到 损失 ,希望 员工 的 计算 机 在 接 入 到 公司 网 络 之 前 进行 身份 验证 ,只 有 具 
有 合法 身份 凭证 的 用 户 才 可 以 接 人 到 公司 网 络 。 网 络 管理 员 通 过 考察 网 络 后 发 现 ,在 网 
络 建设 初期 ,出 于 成 本 的 考虑 , 接 人 层 交 换 机 为 低 端 交换 机 ,不 支持 802. 1x 认证 ,因此 考 
虑 在 分 布 层 部 署 802. 1x, 安 全 网 络 接 入 。 


【需求 分 析 】 
要 实现 网 络 中 基于 端口 的 认证 .交换 机 的 802. 1x 特性 可 以 满足 这 个 要 求 。 只 有 用 户 
认证 通过 后 交换 机 端口 才 会 “打开 ”, 允 许 用 户 访问 网 络 资源 。 


【实验 拓扑 】 

图 4-29 所 示 是 某 企 业 网 络 中 配置 交换 机 802. 1x 特性 ,实现 网 络 中 基于 端口 的 认证 ， 
保证 只 有 合法 用 户 认 证 通过 后 交换 机 端口 才 会 “打开 ”, 允许 用 户 访问 网 络 资源 ,实现 网 络 
防范 安全 。 

【实验 设备 】 

交换 机 2 台 ( 仅 分 布 层 交换 机 需 支 持 802. 1x) ;PC 2 台 ( 其 中 1 台 需 安装 802. 1x 客户 
端 ,本 实验 使 用 锐 捷 802. 1x 客户 端 软件 ); RADIUS 服务 器 1 台 ( 支 持 标 准 RADIUS 
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RADIUS Server 
192.168.1.254 Distribution Laycr 
F0/2 ` 


PC2 
192.168.1.2/24 


F0/24 
Access Layer SWL 
F9/1 VLAN2 
PCI 
802.1x Client 
192.168.1.1/24 


图 4-29 某 企业 网 配置 交换 机 802. 1x 拓扑 


协议 的 RADIUS 服务 器 ,本 例 中 使 用 第 三 方 RADIUS 服务 器 软件 WinRadius ,在 实际 应 
用 环境 中 ,推荐 使 用 锐 捷 SAM 系统 作为 RADIUS 服务 器 ,以 支持 更 多 的 高 级 及 扩展 
应 用 ) 。 


【预备 知识 

。 交换 机 转发 原理 。 
。 交换 机 基本 配置 。 
* 802. 1x 原理 。 


【实验 原理 】 

802. 1x 协议 是 一 种 基于 端口 的 网 络 接 入 控制 (Port Based Network Access Control) 
协议 。“ 基 于 端口 的 网 络 接 入 控制 " 指 在 局 域 网 接 入 设备 的 端口 级 别 对 所 接 入 的 设备 进行 
认证 和 控制 。 如 果 连 接 到 端口 上 的 设备 能 够 通过 认证 , 则 端口 就 被 开放 ,终端 设备 就 被 允 
许 访问 局 域 网 中 的 资源 ;如 果 连 接 到 端口 上 的 设备 不 能 通过 认证 , 则 端口 就 相当 于 被 关 
闭 ,使 终端 设备 无 法 访问 局 域 网 中 的 资源 。 


【实验 步骤 】 
CD 交换 机 基本 配置 (拓扑 中 所 有 设备 都 属于 VLAN2)。 
接 入 层 交换 机 SW1 基本 配置 。 


SW1# configure 

SW1 (config) #vlan 2 

SW1 (config-vlan) # exit 

SW1 (config) # interface fastEthernet 0/1 
SW] (config-if) # switchport access vlan 2 
SW1 (config-if) # exit 


SW1 (config) # interface fastEthernet 0/24 
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SW1 (config if)# switchport mode trunk 
SW1 (config if) #end 
SW1# 


分 布 层 交 换 机 SW2 基本 配置 。 


SW2# configure 

SW2 (config) #vlan 2 

SW2 (config-vlan) # exit 

SW2 (config) # interface fastEthernet 0/1 
SW2 (config-if)4 switchport access vlan 2 


SW2 (config-if) #exit 


SW2 (config) # interface fastEthernet 0/2 
SW2 (config-if)4 switchport access vlan 2 


SW2 (config-if) #exit 


SW2 (config) # interface fastEthernet 0/24 
SW2 (config-if) # switchport mode trunk 
SW2 (config-if) #end 

SW2# 


(2) 验证 网 络 连 通 性 。 
按照 拓扑 配置 PC1、PC2、RADIUS 服务 器 的 IP 地 址 ,在 PCI 上 ping PC2 的 地 址 , 验 
证 PCI 与 PC2 的 网 络 连通 性 ,可 以 ping 通 ,如 图 4-30 Bras. 


Packet nt 
mate round trip tines in m 
Minimum = Bns, Maxinun = Bm 


证 网 络 连通 
(3) 配置 分 布 层 交换 机 SW2 802. 1x 认证 。 


SW2# configure 
SW2 (config) # aaa new-model 
SW2 (config) #aaa authentication dotlx ruijie group radius 


SW2 (config) # dotlx authentication ruijie 
SW2 (config) # interface vlan 2 
SW? (config-if)#ip address 192.168.1.200 255.255.255.0 


SW2 (config if) # exit 
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SW2 (config) # radius-server host 192.168.1.254 
SW2 (config) # radius-server key 12345 
! 此 处 配置 的 密 钥 要 与 RADIUS 服务 器 上 配置 的 一 致 


SW2 (config) # interface fastEthernet 0/24 
SW2 (config-if) # dotlx port-control auto 

! 启用 F0/24 端口 的 802.1x 认 证 
SW2 (config-if) #end 
SW2# 


(4) 验证 测试 。 
此 时 用 PC1 ping PC2 的 地 址 ,如 图 4-31 所 示 。 


图 4-31 验证 网 络 连通 


由 于 SW2 的 F0/24 端口 启用 了 802. 1x 认证 ,在 PC1 没有 认证 的 情况 下 


PC2 通信 。 
(5) 配置 RADIUS 服务 器 。 
运行 WinRadius 服务 器 ,并 添加 账户 信息 ,如 图 4-32 所 示 。 


$3 Winkadius -无 标题 ini xi 
Mr HS 高 设置 查看 Ub 


g Cameo) eS 
Egi 43531388 WinRadius 服务 器 已 经 正确 启动 ，( 认证 端口 为 1812 » + SRO FIL 
日 14 时 43 分 13 秒 WinRadius 正在 等 待 NAS 的 request 消息。 如 果 没 有 ， 请 检查 NAS BC 


图 4-32 添加 RADIUS 服务 器 账户 信息 


设置 账户 信息 ,用 户 名 为 test, 密 码 为 testpass,. 如 图 4-33 所 示 。 
设置 RADIUS 服务 器 系统 属性 ,如 图 4-34 所 示 o 


,无 法 与 


设置 RADIUS 服务 器 的 密 钥 ,要 与 交换 机 上 配置 的 秘 钥 保持 一 致 。 验 证 端口 号 和 计 
费 端口 号 都 保持 默认 的 标准 端口 号 , 如果 设 置 其 他 的 端口 号 ,也 需要 在 交换 机 上 的 


RADIUS 服务 器 配置 中 进行 相应 配置 .如 图 4-35 所 示 。 
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x 
HPB: htest 
SB: hestpass oo 
4%: [ 
地 直 | 
预付 金额 [oo 分 钱 


aM: [— — — —— 
ES midd 表 示 到 期 日 :数字 表示 从 第 一 次 


入 开始 的 有 效 天 数 : 空白 表示 永 不 过 期 


HE: 
个 预付 费用 户 C 后 付费 用 户 


Hahi: [Rte 本 
xm | 


图 4-33 配置 RADIUS 服务 器 账户 信息 


WinRadus 服务 器 已 经 正确 局 动 ，( 认证 端口 为 1612, 计 费 端口 为 1 
WinRadius 正在 等 待 NA5 的 request 消息 如果 没有 ， 请 检查 NA5 配 
DMS ID 


2 
[perd geni pem 


图 4-34. 设置 RADIUS 服务 器 系统 属性 


x 
NAS Æ: [12345 
ERO: [1812 
eau pas 


厂 在 系统 启动 时 自动 加 载 
T zh ROME oO 


Lee] _«a | 


图 4-35 设置 RADIUS 服务 器 的 密 钥 


(6) 启用 802. 1x 客户 端 进行 验证 。 
在 PC1 上 启动 锐 捷 802. 1x 客户 端 ,输入 用 户 名 (testy) 和 密码 (testpass) , 单 击 * 连 接 ” 
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按钮 进行 认证 ,如 图 4-36 所 示 。 
由 于 在 分 布 层 交 换 机 SW2 没有 配置 EAPOL 报 文 可 以 携带 Tag, 所 以 验证 会 失败 ， 
如 图 4-37 所 示 。 


£1 Ruijie Supplicant x 
LETTIE 
Eemi ETE 


用 记名 [e 
sa fewer 


we [ex E IE x] 
FE [nec RIISS/810s Family Fast e] 
Supplicant 3.10 
[sm ] se | is| em | mun | 
图 4-36 启动 锐 捷 802. 1x 客户 端 图 4-37 ”验证 失败 信息 


(7) 配置 分 布 层 交换 机 EAPOL 报 文 携带 VLAN Tag 选项 。 


SW2# configure 

SW2 (config) # dotlx eapol-tag 
SW2 (config) #end 

SW2# 


(8) 重新 认证 。 

此 时 客户 端 可 以 成 功 进行 认证 。 认 证 成 功 后 ,在 Windows fi 
下 角 的 状态 栏 中 显示 认证 成 功 , 如 图 4-38 所 示 。 

图 4-39 为 在 PC1 上 捕获 的 802. 1x 认证 过 程 (EAP-MD5 认证 
方式 ) 的 报 文 。 


认证 成 功 
连接 速度 ; 100.0 Mbps 


NUES 1 


图 4-38 ”验证 成 功 信息 


1 EAP Response, Identity [RFC3748] 
R 4 EAP Request, MD5-Challenge [RFC3748] 
00 6: 1 EAP Response, MD5-challenge [RFC3748] 
.104154  00:d0:f8:82:f4:al 00:15:f2:dc:96:a4 EAP success 


|i Frame 2 (60 bytes on wire, 60 bytes capture 
| Ethernet II, Src: 00:d0:f8:82:f4:al (00:dO 
& Destination: 00:15:f2:dc:96:a4 (00:15:f2 
G Source: 00:d0:f8:82:f4:al (00:d0:f8:82:f4:a1) 
Type: 802.1x Authentication (Ox888e) 
Trailer: 001311000000001311006900000000000000000000000000. . . 
[3 802.1x authentication 
Version: 1 
Type: EAP Packet (0) 
Length: 5 
S Extensible Authentication Protocol 
Code: Request (1) 
1d: 1 
Length: 5 
Type: Identity [RFC3748] (1) 


182:f4:a1), Dst: 00:15:f2:dc:96:a4 (00:15:f2:dc:96:24)| 
196:34) 


图 4-39 PC1 上 捕获 802. 1x 认证 过 程 报 文 


(9) 验证 测试 。 
fr PCI 上 ping PC2 的 IP 地址 ,由 于 通过 了 802. 1x 认证 ,SW2 的 F0/24 端口 被 “ 打 
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开 ”,PC1 与 PC2 可 以 ping 通 , 如 图 4-40 所 示 。 


Settings Administra 


图 4-40 ”验证 网 络 连通 
查看 交换 机 的 802. 1x 认证 状态 ,可 以 看 到 PCI 已 通过 认证 。 


SW2# show dotlx summary 
ID MAC Interface VLAN Auth State Backend State Port-Status User Type 


7 0015.f2dc.96a4 Fa0/24 a Authenticated Idle Authed static 
Switch# show dotlx user id 7 


User name: test 

User id: 7 

Type: static 

Mac address is 0015. f2dc.96a4 
Vlan id is 1 

Access from port Fa0/24 

Time online: Odays 0h 0m10s 
User ip address is 192.168.1.1 
Max user number on this port is 6000 
Start accounting 

Permit proxy user 

Permit dial user 


IP privilege is 0 

(10) 注销 802. 1x 认证 。 

在 图 4-28 中 ,选择 网 络 连接 , 右 击 , 选 择 * 断 开 连 接 ” 项 ,注销 802. Ix 认证 。 图 4-41 
为 在 PC] 上 捕获 的 802. 1x 注销 过 程 的 报 文 。 


【注意 事项 】 

在 认证 过 程 中 ,需要 保证 交换 机 与 RADIUS 服务 器 之 间 可 达 。 
【参考 配置 】 

SW1# show running-config 


Building configuration... 
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[s Frame 1 (1000 bytes on wire, 1000 bytes captured) 
5:f2:d 


日 Ethernet II, src: 0 


6:34 (00:15:f2:dc:96:a4), Dst: 00:d0:f8:82:f4:21| 
4:21) 


(00:d0:f8:82:f4: 
B Source: 2:dc:96:a4 (00:15:f2:dc:96:a4) 
Type: 802.1x Authentication (0x888e) 
Trailer: FFFF3777FFFCEA7FC7000000FFFFFFFFFFFFFFFFFFFA9500. . . 
Frame check sequence: 0x00000000 [incorrect, should be Oxdb3c537a] 
日 802.1x Authentication 
version: 1 
Type: Logoff (2) 
Length: 0 


图 4-41 PCI 上 捕获 802. 1x 注销 过 程 的 报 文 


Current configuration : 1184 bytes 
1 


hostname SWl 


interface FastEthernet 0/1 


switchport access vlan 2 
1 


interface FastEthernet 0/2 
1 


interface FastEthernet 0/3 
1 


interface FastEthernet 0/4 
1 


interface FastEthernet 0/5 
! 


interface FastEthernet 0/6 
! 


interface FastEthernet 0/7 


interface FastEthernet 0/8 


interface FastEthernet 0/9 
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interface FastEthernet 0/10 
d 
interface FastEthernet 0/11 
! 
interface FastEthernet 0/12 
i| 
interface FastEthernet 0/13 
! 
interface FastEthernet 0/14 
a 
interface FastEthernet 0/15 
x 
interface FastEthernet 0/16 
H 
interface FastEthernet 0/17 
H 
interface FastEthernet 0/18 
? 
interface FastEthernet 0/19 
! 
interface FastEthernet 0/20 
E 
interface FastEthernet 0/21 
! 
interface FastEthernet 0/22 
! 
interface FastEthernet 0/23 
1 
interface FastEthernet 0/24 
switchport mode trunk 


1 

interface GigabitEthernet 0/25 
1 

interface GigabitEthernet 0/26 
1 

interface GigabitEthernet 0/27 
1 

interface GigabitEthernet 0/28 
1 

1 

1 

1 

line con 0 
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SW2# show running config 


Building configuration... 
Current configuration : 1456 bytes 


radius-server host 192.168.1.254 

radius-server key 7 151b5f72467e 

! 

! 

[i 

L 

dotlx authentication ruijie 

interface FastEthernet 0/1 

switchport access vlan 2 

1 

interface FastEthernet 0/2 
switchport access vlan 2 

H 

interface FastEthernet 0/3 

a 

interface FastEthernet 0/4 
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interface FastEthernet 0/5 
d 

interface FastEthernet 0/6 
! 

interface FastEthernet 0/7 
! 

interface FastEthernet 0/8 
! 

interface FastEthernet 0/9 
a 

interface FastEthernet 0/10 
x 

interface FastEthernet 0/11 
和 

interface FastEthernet 0/12 
Y 

interface FastEthernet 0/13 
E 

interface FastEthernet 0/14 
! 

interface FastEthernet 0/15 
! 

interface FastEthernet 0/16 
! 

interface FastEthernet 0/17 
! 

interface FastEthernet 0/18 
H 

interface FastEthernet 0/19 
H 

interface FastEthernet 0/20 
a 

interface FastEthernet 0/21 
1 

interface FastEthernet 0/22 
i 

interface FastEthernet 0/23 
H 

interface FastEthernet 0/24 

dotlx port-control auto 
switchport mode trunk 


interface GigabitEthernet 0/25 
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interface GigabitEthernet 0/26 
1 
interface GigabitEthernet 0/27 
1 
interface GigabitEthernet 0/28 
E 
interface VLAN 2 
ip address 192.168.1.200 255.255.255.0 
! 
! 
! 
line con 0 
line vty 04 
! 
! 


End 
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51 ”实现 无 线 用 户 的 二 层 隔离 


【实验 名 称 】 
实现 无 线 用 户 的 二 层 隔 离 。 


【实验 目的 】 
掌握 配置 无 线 局 域 网 用 户 的 二 层 隔离 的 方法 。 


【背景 描述 】 

小 张 是 学 校 的 网 络 管理 员 ,最 近 他 发 现 学 校内 前 期 建成 的 无 线 局 域 网 内 ,经常 有 学 生 
反映 当地 的 无 线 局 域 网 的 速度 非常 慢 。 于 是 小 张 就 在 网 管 上 查看 ,发 现 无 线 局 域 网 内 的 
流量 很 大 ,而 学 校 出 口 的 流量 不 是 很 大 , 据 此 小 张 推断 : 是 有 学 生 在 利用 无 线 局 域 网 相互 
之 间 传输 大 量 数据 。 

为 了 增加 无 线 局 域 网 的 利用 率 , 减 少 无 线 局 域 网 带宽 在 局 域 网 内 的 浪费 ,小 张 决定 把 
无 线 局 域 网 内 的 用 户 做 个 二 层 隔离 。 


【需求 分 析 】 

需求 : 如 何 降低 无 线 局 域 网 内 无 线 带宽 的 浪费 。 

分 析 : 用 智能 无 线 局 域 网 的 二 层 隔 离 功能 将 用 户 隔 离开 ,不 允许 无 线 网 用 户 使 用 无 
线 局 域 网 互相 传输 数据 。 


【实验 拓扑 】 
图 5-1 所 示 网 络 拓扑 ,是 某 学 校内 前 期 建成 的 无 线 局 域 网 络 规划 拓扑 ,为 了 减少 无 线 
局 域 网 带宽 在 局 域 网 内 的 浪费 ,希望 在 学 校内 sun 


的 无 线 局 域 网 络 中 使 用 智能 无 线 局 域 网 的 二 层 
隔离 功能 将 用 户 隔离 开 , 不 允许 用 户 使 用 无 线 


局 域 网 互相 传输 数据 。 
【实验 设备 】 
DN 
RG-WG54U 2 块 ;PC 2 台 ; 智能 无 线 AP E 3) © K 4 
1 台 ; 智能 无 线 交 换 机 1 台 。 智能 AP 
图 5-1 无 线 局 域 网 内 二 层 隔 离 
【预备 知识 技术 实施 网 络 拓扑 


* 无 线 局 域 网 基本 知识 。 


me 5.1 实现 元 线 用 户 的 二 层 隔 高 mm 


。 智能 无 线 交换 机 。 

伴随 着 迅驰 笔记 本 的 披荆斩棘 ,WLAN 无 线 技术 已 深 深 扎 根 家 庭 应 用 。 在 传统 的 无 
R LAN 模式 中 ,作为 无 线 局 域 网 接 入 点 设备 的 AP ,提供 了 客户 端 接 入 、 加 密 和 验证 等 功 
能 。 无 线 交 换 机 的 出 现 让 无 线 局 域 网 系统 可 管理 性 、 可 扩展 性 都 得 到 提高 。 

自从 2002 年 Symbol Technologies 推出 了 第 一 个 无 线 交 换 机 后 , 随 着 无 线 交 换 机 的 
出 现 , 或 许 将 彻底 改变 很 多 注重 安全 的 企业 用 户 的 使 用 习惯 。 很 多 网 络 设备 厂家 都 开始 
认识 到 无 线 交 换 机 未 来 对 企业 用 户 的 吸引 力 ,纷纷 推出 相关 产品 。 无 线 交 换 机 凭借 良好 
的 集中 部 署 能 力 和 管理 功能 ,可 更 方便 地 管理 和 升级 大 型 无 线 基础 设施 ,在 未 来 大 中 型 
WLAN 安装 中 ,无线 交换 机 将 占有 重要 作用 。 

无 线 交 换 机 正 是 出 于 对 无 线 AP 的 集中 管理 需求 而 生 , 所 以 无 线 交 换 机 具备 强大 的 
AP 管理 功能 。 多 数 无 线 交换 机 可 提供 1 一 72 个 千 兆 端口 或 百 兆 端口 ,多 个 Combo SFP 
插 槽 ,每 个 无 线 交 换 机 能 支持 最 多 8 一 512 个 无 线 接 入 点 ,并 可 扩展 到 多 个 对 等 交换 机 , 形 
成 多 达 万 个 的 AP 无 线 漫游 网 络 接 入 点 。 

无 线 交 换 机 多 数 端口 都 支持 POE 供电 功能 ,可 扩展 并 轻松 升级 ,AP 可 以 直接 与 无 
线 交换 机 端口 连接 ,或 通过 局 域 网 交换 机 间接 与 它 连 接 ,而 不 需要 更 改 现 有 的 网 络 架构 。 
并 且 超 过 每 台 AP 可 管理 最 大 SSID 数 ,无 线 交 换 机 一 般 可 达到 16 一 32 个 点 。 这 样 ,无 线 
交换 机 就 可 替代 原来 二 层 交 换 机 的 位 置 , 瘦 AP 便 可 取代 原 有 的 企业 级 AP 的 位 置 。 

而 在 对 非法 AP 的 管理 上 ,无 线 交 换 机 一 般 都 具备 最 常用 的 RSSI 功能 ,可 对 最 接近 
802. 11 设备 的 AP 或 传感器 的 身份 验证 ,来 完成 基于 信号 强度 的 跟踪 。 而 功能 更 强 的 三 
角 定 位 技术 等 无 线 信号 侦 测 技术 也 是 主流 产品 的 标 配 ,使 用 三 角 测 量 法 可 精确 算出 使 用 
者 的 位 置 ,可 使 定位 误差 尽量 缩小 ,三 角 测量 则 可 以 将 定位 精度 限制 于 400 一 900 平方 英 
尺 的 范围 之 内 。 

除 此 之 外 ,多 数 无 线 交 换 机 还 具备 动态 自我 配置 无 线 电 参 数 ( 包 括 发 射 功率 水 平 、 信 
道 、 负 载 平 衡 和 干扰 规避 ) 的 RF 管理 功能 ,可 以 动态 地 ,智能 地 调整 瘦 AP 的 信道 和 功 
率 , 可 提供 连续 、 一 致 的 无 线 覆 盖 。 

无 线 交 换 机 的 网 络 管理 功能 肯定 不 弱 , 其 一 般 具 备 SNMP, Telnet, Web, IPsec/VPN 
和 用 户 策略 控制 等 基本 功能 ,可 灵活 地 应 对 各 种 网 管 需求 。 可 对 硬件 、 软 件 配置 和 网 络 策 
略 进行 统一 管理 ,可 以 简化 日 常 工作 。 通 过 集中 式 的 管理 ,也 可 以 向 所 有 接 人 端口 自动 分 
发 配置 ,这样 就 不 需要 分 别 配 置 和 管理 每 个 接 和 人 点 并 降低 与 之 相关 的 成 本 。 

并 且 无 线 交 换 机 可 通过 嵌 人 的 射频 管理 软件 ,对 整个 频谱 范围 内 的 无 线 设 备 进行 监 
控 和 管理 ,使 网 络 管理 员 可 以 输入 楼 宇和 工作 场所 参数 来 计算 楼 宇 的 RF 特征 以 及 规划 
放置 接 入 点 的 最 佳 位 置 。 系 统 可 以 图 形 方式 显示 包括 射频 覆盖 、 负 载 均衡 、 宛 余 、 安 全 威 
胁 级别 和 网 络 使 用 率 在 内 的 统计 数字 ,从 而 最 大 程度 地 延长 网 络 系统 的 正常 工作 时 间 和 
帮助 保持 峰值 性 能 ,并 获得 对 网 络 进行 规划 .评估 和 监控 的 能 力 。 

并 且 在 网 络 安全 管理 上 ,无线 交换 机 也 不 弱 ,很 多 产品 除 具备 一 个 定位 引擎 和 无 线 入 
侵 保 护 系统 (Wireless IPS) 外 ,还 支持 一 整套 完整 的 安全 机 制 , 包 括 接 人 点 控制 .基于 
802. 1x 的 身份 验证 以 及 增强 型 加 密 ,包括 与 WPA 和 802. 1x 认证 结合 的 AES、TKIP 以 
及 WEP 加 密 。 其 中 ,企业 级 的 WPA2 利用 AES 高 级 加 密 标 准 来 代替 WPA 使 用 的 
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TKIP 动态 密 钥 完整 性 协议 数据 加 密 , 是 目前 最 安全 的 加 密 机 制 之 一 。 集 成 较 专业 的 防 
火 墙 ,可 以 防护 各 种 “拒绝 服务 ”攻击 并 过 滤 在 局 域 网 内 部 以 及 局 域 网 和 广域网 之 间 的 网 
络 流量 。 
。 无 线 局 域 网 络 网 管 软件 RingMaster。 
RingMaster 是 针对 智能 无 线 交换 网 络 的 集中 管理 平台 系统 软件 ,可 为 用 户 提供 局 域 
网 或 跨越 广域网 环境 下 的 无 线 网 络 部 署 规划 、 设 备 配 置 及 管理 监控 服务 ,并 分 析 输 出 详细 
的 网 络 运行 状态 报告 。RingMaster 可 与 智能 无 线 局 域 网 交换 机 协同 工作 ,对 所 有 部 署 的 
MP 系列 智能 管理 型 无 线 接 入 点 产品 进行 集中 管理 和 控制 ,以 优化 网 络 表现 ,并 增强 网 络 
安全 性 。 
使 用 RingMaster 无 线 局 域 网 交换 机 集中 网 管 系统 软件 ,可 在 无 线 局 域 网 部 署 实施 
前 ,简便 智能 地 进行 规划 和 配置 。 该 系统 软件 的 规划 部 分 能 够 支持 导入 需要 部 署 的 建筑 
平面 图 ,计算 各 种 常见 障碍 物 (如 门 ,墙壁 和 天 花 板 等 建筑 障碍 物 ) 的 信号 屏蔽 参数 ,自动 
配置 每 个 无 线 接 入 点 的 容量 和 覆盖 范围 。VirtualSiteSurvey 向 导 功 能 可 自动 将 MP 系列 
无 线 接 入 点 产品 布置 于 站 点 平面 图 中 ,以 模拟 和 优化 无 线 接 入 点 发 射 功率 并 且 自 动 分 配 
射频 信道 ,使 得 整个 虚拟 规划 模型 最 大 化 地 接近 实际 应 用 ,并 对 项 目 实施 提供 完善 的 
指导 。 

RingMaster 可 根据 用 户 建筑 物 的 射频 环境 .障碍 物 特 性 和 用 户 访问 带宽 要 求 等 因 
素 , 自 动 规划 MP 系列 智能 管理 型 无 线 接 人 点 产品 的 部 署 位 置 及 部 署 数量 ,同时 也 可 以 对 
任何 支持 OAPI 的 第 三 方 厂商 的 无 线 接 入 点 产品 进行 部 署 规划 。 

RingMaster 系统 软件 不 仅 可 以 规划 安装 过 程 ,还 可 以 对 部 署 结果 进行 验证 。 用 户 可 
以 快速 复制 和 验证 配置 模板 ,自动 下 发 配置 到 多 台 无 线 网 络 交 换 机 和 MP 系列 无 线 接 入 
点 以 建立 无 线 网 络 。 此 外 ,该 系统 软件 还 可 用 于 跟踪 配置 变化 、 进 行 全 网 无 线 设 备 的 批量 
升级 ,管理 全 网 设备 版 本 ,并 从 管理 端 保存 设备 历史 配置 。 这 样 可 以 大 大 降低 部 署 无 线 网 
络 的 人 为 错误 ,大 量 节约 成 本 。 

RingMaster 系统 软件 可 提供 对 射频 环境 的 全 面 控制 ,可 提供 对 整个 无 线 局 域 网 的 简 
易 而 精确 的 操作 。 射 频 扫 描 可 以 按 计划 进行 .连续 进行 或 按 需 进行 ,使 用 户 能 够 了 解 无 线 
空间 内 发 生 的 所 有 操作 ,监视 探测 并 定位 非法 接 和 点、 非法 网 络 或 其 他 射频 和 干扰。 此外， 
该 系统 软件 还 可 以 监测 无 线 用 户 通信 情况 ,并 自动 调整 无 线 接 人 点 的 功率 ,以 消除 覆盖 区 
域 之 间 的 盲区 ,优化 射频 性 能 。RingMaster 系统 软件 可 监视 并 记录 无 线 网 络 实时 运行 情 
况 , 可 精确 地 对 无 线 局 域 网 进行 动态 调整 和 平衡 ,并 可 输出 长 达 30 天 的 设备 运行 情况 及 
用 户 记 录 ,协助 管理 员 进 行 周密 而 有 计划 的 网 络 管理 。 

RingMaster 系统 软件 支持 AES, TKIP 和 WEP 加 密 等 丰富 的 无 线 数据 安全 特性 ,并 
结合 了 WPA/WPA2 和 802. 1x 验证 ,因此 可 以 基于 每 个 用 户 或 每 个 用 户 组 进行 全 面 的 
管理 和 保护 ,跟踪 无 线 网 络 上 的 所 有 业务 。 基 于 此 项 功能 ,可 以 实现 针对 用 户 组 的 认证 接 
入 控制 .灵活 可 控 的 漫游 策略 、 对 带宽 使 用 的 监视 ,大 大 增强 了 无 线 局 域 网 的 安全 性 ,并 可 
以 实现 安全 连接 和 漫游 。 

RingMaster 系统 软件 对 采集 的 用 户 数 据 和 网 络 运行 数据 提供 了 强化 分 析 能 力 , 它 可 
以 通过 监视 连接 对 象 . 对 象 所 处 位 置 、 原 来 的 位 置 以 及 曾经 使 用 过 的 业务 来 组 建 一 个 移动 
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域 (Mobility Domain) ,以 确保 无 线 局 域 网 的 安全 ,并 可 以 随时 监视 用 户 漫 游记 录 ,协助 管 
理 员 进 行 详细 的 漫游 管理 。 

RingMaster 系统 软件 已 经 率先 支持 对 下 一 代 无 线 通信 协议 IEEE 802. 11n, 可 配合 
支持 802. 11n 智能 无 线 接 人 点 ,完成 对 高 速 用 户 数据 的 监控 。 同 时 ,还 支持 Mesh( 无 线 
网 状 网 ) 技 术 ,可 配合 Mesh 网 关 和 Mesh 无 线 接 入 点 产品 ,完成 城 域 级 的 大 规模 无 线 网 
状 网 的 全 面 控制 管理 。 


【实验 原理 】 
智能 型 无 线 交 换 网 络 的 无 线 交换 机 ,由 于 有 了 一 般 交 换 机 VLAN 的 强大 功能 ,所 以 ， 
对 于 二 层 隔 离 也 可 以 实现 ,从 而 隔离 无 线 局 域 网 用 户 的 相互 访问 。 


【实验 步骤 】 

(1) 配置 无 线 交 换 机 的 基本 参数 。 

(D 无 线 交 换 机 的 默认 IP 地 址 是 192. 168. 100. 1/24 ,因此 将 STAT 的 IP 地 址 配置 为 
192. 168. 100. 2/24 ,并 打开 浏览 器 登录 到 http: //192. 168. 100. 1 ,弹出 图 5-2 所 示 界 面 ， 
单 击 “是 ”按钮 。 

系统 的 默认 管理 用 户 名 是 admin ,密码 为 空 , 如 图 5-3 所 示 。 


x 连接 到 192.168.100.1 


pe ea UU RNNES 但 该 站 点 
o RRSP wa ee 


0 RP&U: B anin m 
(As! 


map: 


A SEU EBYVENOU » RES S SNUSTUC. 口 记 住 我 的 密码 QD 


是 否 继续 ? 


Ca Ga Ca [am | 
图 5-2 登录 无 线 交换 机 图 5-3 登录 无 线 交 换 机 


@ 输入 用 户 名 和 密码 后 就 进入 了 无 线 交 换 机 的 Web 配置 页 面 , 单 击 Start 按钮 , 进 
入 快速 配置 指南 ,如 图 5-4 所 示 界 面 。 

@ 选择 管理 无 线 交 换 机 的 工具 RingMaster. 如 图 5-5 所 示 界 面 。 

CD 配置 无 线 交 换 机 的 IP 地 址 、 子 网 掩 码 以 及 默认 网 关 , 如 图 5-6 所 示 界 面 。 

© 设置 系统 的 管理 密码 , 如 图 5-7 所 示 界 面 。 

© 设置 系统 的 时 间 以 及 时 区 , 如 图 5-8 所 示 界 面 。 

D 确认 并 完成 无 线 交换 机 的 基本 配置 , 如 图 5-9 所 示 界 面 。 

(2) 通过 RingMaster 网 管 软件 进行 无 线 交换 机 的 高 级 配置 。 

(D 运行 RingMaster 软件 ,地 址 为 127. 0. 0. 1 ,端口 为 443 ,用户 名 和 密码 默认 为 空 , 
如 图 5-10 所 示 界 面 。 
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SYSTEM 
General 


IP Services 
Ports 
VLANs 
Security 
WIRELESS 
Access Points 
Services 
AUTHENTICATION 
Users 
Devices 
RADIUS | 


Quick Start wizard will replace the current configuration 
with a new one. 


El 


图 5-4 配置 无 线 交换 机 


General 

IP Services 

Ports 

VLANs 

Security 
WIRELESS 

Access Points 

Services 
AUTHENTICATION 

Users 

Devices 

RADIUS 


Configuration Type View Help 加 


Select the management platform you plan to use for 
configuring and managing this switch in the future. 


How will you manage this [Rinekaster [ul 
snu 


E E 


图 5-5 选择 管理 无 线 交换 机 的 工具 


SYSTEM 
General 


IP Services 
Ports 
VLANs 
Security 


WIRELESS 
Access Points 


IP Configuration View Help Ed 


Specify the following parameters to connect this 
Switch to the network. 


IP address 


IP mask bits 


Default router 


E 图 


图 5-6 配置 无 线 交换 机 的 IP 地 址 
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Password View Help BB 
‘Specify the password for future management access 
General to the system. 
IP Services 
Ports Password =" 
vos Re-enter password tp 
security 
WIRELESS 
Access Points 
Services 
AUTHENTICATION 
Users 
Devices 


| Quick Start —— Date and Time View H 


amatam Set the time and date on the switch. 
General 


1P Services Date [8/08/2008 ] 


nw Hime. [13:45:18 
VLANs 


Timezone | (GHT+8:00) Beijing, Chongqing, Hong Kong 
Security 


WIRELESS t 
Access Points 


Services 


AUTHENTICATION 
Users 


Devices 
RADIUS 


| 


图 5-8 配置 系统 的 时 间 以 及 时 区 


Configuration Summary View Help EQ E 
SYSTEM Review the configuration settings. 
General 
1P Services IP address 192.168.100.254/24 
Ports Default router 192.168.100.1 
VLANs Admin password Modified 
Security 
WIRELESS After you click Finish, web management will be 
Access Points disabled. 
Services 
AUTHENTICATION 
Users 
Devices 
RADIUS 
Lu E 


图 5-9 确认 并 完成 无 线 交换 机 的 基本 配置 
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RingMaster 


用 户 名 和 密码 
默认 为 空 


图 5-10 运行 RingMaster 软件 


© 选择 Configuration ,进入 配置 界面 ,并 添加 被 管理 的 无 线 交 换 机 , 如 图 5-11 所 示 
界面 。 


Sears 
e» 8 p E y 


Policies RF Planning tm] Verification Devices Monitor Security 


Be Third Party Are 


Network Flan 
Tetverk Plan Hane shad Oc mobility D 
Country Code [Chin CI) Oct third Party 


Beteerk Dessin 


Metworke Don: 
Metwork Donain Seeds 


Jatwork Domain Menbers ot Assi gred 


© etwork Donsin 


图 5-11 配置 RingMaster 软件 


O 输入 被 管理 无 线 交换 机 的 IP 地 址 和 Enable 密码 ， 如 图 5-12 一 图 5-14 所 示 
界面 。 
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> RingMaster 7.0: Plan (shdd) 


Hle 


ty Upload MX 
Upload NX 


Enter the MI’ s IP address and enable password and click Next to retrieve its configuration. 


maus prenom] dm. 
Enable Password [@@| 4— 


Updated [Enable Password] Value [eveveres] 


图 5-12 输入 管理 无 线 交换 机 的 IP 信息 (1) 


Plan (shdd) 
wy Upload MX 


Uploading MX... 


Please wait for the WI’ s configuration to be retrieved and click Next to save the changes, 


‘Querying Boot Status and Serial Number: 192.168.100.254:8889 


Next Version = 6.0.7.2.0 

Image Location = boot0:mx060702.002 
Configuration Location = configuration 
Serial Number = 0721600029 


Uploading device: 192.168.100.254:8889 

Walting for response from device: 192.168.100.254:8889 
Recelved network data for: 192.168.100.254:8889 
Processing network data for device: 192.168,100.254:8889 
Done processing uploaded data. 


Successfully uploaded device MXR-2-580CB8. 


图 5-13 输入 管理 无 线 交换 机 的 IP 信息 (2) 


© 完成 添加 后 ,进入 无 线 交换 机 的 操作 界面 . 如 图 5-15 所 示 界 面 。 
(3) 配置 无 线 AP. 
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> RingMaster 7,0: Plan (shdd) 


Uplosd Complete 


Click Finish to complete the wizard 


EEE] Aaaing device to the network plan. Please wait. 
$ S Successfully added device MXR-2-560CB8 to the network plan. 


mfg | Error, 2 Warnings 


TS Ri ehas 7.0: Plan (edd 
Services Dole 
& e 


Versfreatisn Devier 


Mobility Erehenge 


[Pert Groupe E 


[Management Services 


Seid Banker [orzieecon. 
LAP Services meta me? 
Sefton Version 6.0.2 


mt man [ 2s (3: 88388 8897 9 


Contry Cade Fet isigaa 


© System e 
© Sofware Version 


[Micaless Services 
[Badio Profiles Domain Security Fe © system Internation, 


Local Sat tehing 


Menegeeent Interface " " 
Mead 回 cote * 
> hake © taie 
DIIS 


ace der Database FAITE [ iini. 00; 192308. 28 Oo eun 


= kastis Testers [0 POSU 
LP TEN 
-002.18 Assess Maloe || ee = 
[MIC Access Rules 
Web Access Bales Motility Donsin [Tec Msiget 7] ais 
© convert Auto ar 


Perepe ama 77777] Dro 
D 
EM Osten 

& Thiri Party APs © Telnet to ME 


图 5-15 进入 无 线 交 换 机 的 操作 信息 


(D 选择 Wireless>Access Points 选项 ,添加 AP. 如 图 5-16 所 示 界 面 。 
© 为 添加 AP 命名 ,并 选择 连接 方式 ,默认 使 用 Distributed 模式 ,如 图 5-17 Bros 
界面 。 
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Config: L Error: 2 Varsings 


图 5-16 配置 无 线 AP 


35 RingMastor 7.05 Plan (shed) 


EN. Soo 9 2 
Palicies ‘EF Plasing Es ief Verification Devices: Security 


++ | eee 


AP Tdentifinr 


Tater a mmber, unique mane, and conmeetion er the AF Comaeting the AP to a pert 
Tercer the part free Dl VEAN 


i òa (ul 


Ter m 


] 
tunm [casa d dm. 选择 分 布 式 连接 


a Detection 


Lees Your Bata 
awns 
min 
32 33 docete 
H Aces Biles] 
eres 
$- open Areses Bale 
[-Mais jocos Palo 
Tus Peete Me 


idjnsites Bs 


liri 2 esae Lael Changer: none 


图 5-17 配置 无 线 AP 


C 将 需要 添加 的 AP 机 身后 面 的 SN 号 输入 对 话 框 ,用 于 AP 与 无 线 交 换 机 的 注册 
过 程 , 如 图 5-18 所 示 界 面 。 
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Master 7.0: Plan [she 


"d 


sais iw Eun eee AP BLEU SN UK 
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Lies! Ste AP 机 身后 面 的 RSA( BD y 


Enter Gin Himgerpeia A Fingerprint ss coqeiree sf a secure cenmestion ie ured betat 
ar 


Bodl Perty it 


图 5-18 添加 AP 机 身后 的 SN 号 


CD 选择 添加 AP 的 具体 型 号 和 传输 协议 ,完成 AP 添加 ,如 图 5-19 所 示 界 面 。 


Th RineMester 7.0: Plan (test) 
Ble gevee posle Maly 


, p e ] 
* id Felis > 


m "uds ae Devices Mete Security 


AP Type 
Select the AP oe 


ari p am 
Radio 1 Type (ues) 


adie 2 Tope de 


= 


aae Tien 
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图 5-19 添加 AP 型 号 和 传输 协议 


(4) 配置 无 线 交 换 机 的 DHCP 服务 器 。 
(D 选择 System> VLANs 选项 ,然后 选择 default vlan, 进 入 属性 配置 , 如 图 5-20 所 
示 界 面 。 
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图 5-20 


配置 无 线 交换 机 的 DHCP 服务 器 


@ 进入 Properties DHCP Server 选项 ,激活 DHCP 服务 器 ,设置 地 址 池 和 DNS, 保 


f£. 如 图 5-21 所 示 界 面 。 


Ihe deeem ds Nds 


t E = * 
Een see 
"i TEE Server 
p eme tcm Dr Server SO dues | 
TI. DO Server TO Morin 
et toms Svr IP Address [nc ion Daley 
mud : z 
| Bini Primery DIS Mona ju ve in s) e DNS Jy FEL ZEAL A TP 地 赴 Deren rs 
Sevenlery DIS TF keene 
15 Ime E 
Us Wen 
pains Tree 
xxr 


ested 22 Teattie 
eeirint 13 Teste 


= 
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图 5-21 


ee ee ee ëE 
配置 激活 DHCP 服务 器 


选择 System Ports 选项 ,将 无 线 交 换 机 的 端口 POE 打开 ,并 保存 , 如 图 5-22 所 示 


界面 。 
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[Hd 5-22 配置 DHCP 服务 器 


(5) 配置 网 管 软件 的 二 层 隔 离 功能 。 
CD 在 无 线 网 管 软 件 中 选择 Configuration System VLANs 选项 ,如 图 5-23 所 示 
界面 。 


E] & e 
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图 5-23 配置 网 管 软件 的 二 层 隔离 (1) 
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© 进入 Properties 一 VLAN L2 Restriction 选项 ,激活 该 选项 ,在 方 框 内 打上 对 勾 ， 
如 图 5-24 所 示 界 面 。 


E VLAN Properties 


图 5-24 配置 网 管 软件 的 二 层 隔 离 (2) 


© 添加 VLAN 内 用 户 网 关 设 备 的 MAC 地 址 。 单 击 图 5-24 中 的 Create 键 ,出 现 
图 5-25 所 示 界 面 。 
| 


Die bien pe ls 


Eee = T's 


图 5-25 配置 网 管 软件 的 二 层 隔 离 (3) 


@ 添加 网 关 的 MAC 地 址 : 单 击 Finish 按钮 完成 添加 ,如 图 5-26 所 示 界 面 。 
© Ah OK 按钮 ,完成 操作 。 把 设置 应 用 到 无 线 交 换 机 上 , 如 图 5-27 所 示 界 面 。 
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TS VLAN Properties 


图 5-26 添加 网 关 的 MAC 地 址 


[UIDCEICUETUIUOEECEOUITOECUETS ë cy 


图 5-27 设置 应 用 到 无 线 交换 机 


(6) 使 两 台 客 户 端 都 连接 上 test 的 SSID ,并 获得 地 址 。 
查看 两 台 计 算 机 的 地 址 , 如 图 5-28 和 图 5-29 所 示 界 面 。 
(7) 验证 测试 。 

使 用 STA1 ping STA2. 如 图 5-30 所 示 界 面 。 

STAI 5 STA2 不 能 相互 ping iÑ. 


【注意 事项 】 
保证 STA1、STA2 无 线 连接 的 SSID 一 致 。 


STAI 


OLRM KS 


地 址 类 型 通过 DHCP 指派 

Por 192. 168. 1. 101 
TENES 255.255.255.0 
默认 网 关 192.168.1.1 
HB QU... 


Windows Bree Sone. 
您 无 法 连接 ， 博 单 击 “ 修 复 


图 5-28 查看 计算 机 的 IP 地 址 (1) 


for 192 
Sent = 148, 

e round trip times in milli 

Minimum = Gns, Maximum = 69ns, Av 


ts and Settings \Administrator>ping 192.168.1102 


2.168.1.102 with 32 bytes of data: 


ed out 


est timed out 


gh suem 
Ch rr 地 址 


子 网 掩 码 
默认 网 关 


通过 DHCP 指派 
192. 168. 1. 102 
255. 255. 255.0 

192.168.1.1 


Windows P eae ia 如 果 
geese REST 


图 5-30 ”验证 测试 计算 机 连通 


52 使 用 MAC 认证 实现 接 入 控制 


【实验 名 称 】 
使 用 MAC 认证 实现 接 入 控制 。 


【实验 目的 】 


掌握 无 线 局 域 网 中 MAC 地 址 认证 的 概念 及 配置 方法 。 
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【背景 描述 】 

小 张 从 学 校 毕 业 后 在 某 家 网 络 服务 商 处 工作 ,工作 第 一 天 就 接 到 一 个 任务 ,需要 给 某 
个 医院 的 住院 楼 做 无 线 覆盖 ,目的 是 为 了 给 护理 部 的 移动 查 房 系 统 设计 无 线 局 域 网 规划 。 
每 个 护士 都 有 一 个 手持 终端 用 来 采集 病人 的 信息 ,如 体温 、 血 压 和 其 他 参数 ,而 这 些 信息 
将 来 需要 通过 无 线 局 域 网 传送 到 护理 中 心 。 


【需求 分 析 】 

需求 : 不 需要 通过 加 密 方式 对 无 线 终端 进行 接 入 控制 。 

分 析 : 由 于 手持 终端 的 操作 系统 局 限 性 ,采用 加 密 和 Web 认证 都 不 现实 ,而 使 用 手 
持 终端 的 MAC 地 址 作为 认证 的 依据 ,具有 实现 方便 、 规 划 简 单 等 优点 。 


【实验 拓扑 】 
图 5-31 所 示 网 络 拓 扑 , 是 某 医 院 的 住院 楼 建成 无 线 局 域 网 络 规划 拓扑 ,希望 住院 中 
心 的 信息 通过 无 线 局 域 网 传送 到 护理 中 心 。 实 现 护士 


使 用 手持 终端 的 MAC 地 址 作为 认证 的 依据 ,不 需要 vu | 
通过 加 密 方式 对 无 线 终端 进行 接 人 控制 。 STAI 

【实验 设备 】 

RG-WG54U 1 块 ;PC 2 台 ;MP-71/MP-372 1 £5 E MP-71/MP-372 
MX-8/MXR-2 1 fi, 

" STA2 
【预备 知识 图 5-31 某 医 院 住院 楼 无 线 
。 无线 局 域 网 基本 知识 。 局 域 网 络 规划 拓扑 


。 无 线 局 域 网 中 MAC 地 址 认证 。 

每 一 块 网 卡 都 对 应 全 球 唯一 的 MAC 地 址 ,基于 无 线 网 卡 的 MAC 地 址 的 管理 可 以 
在 一 定 程度 上 保障 局 域 网 的 安全 。 通 过 在 AP 中 建立 一 个 访问 控制 列表 (Access Control 
List. ACL) ,然后 通过 ACL 确定 网 卡 的 MAC 地 址 , 当 有 网 卡 发 出 请 求 连接 时 ,AP 就 会 
检测 其 MAC 标识 是 否 与 列表 中 的 记录 相符 。 只 有 认证 通过 ,AP 才 会 接收 信息 。 当 然 ， 
该 种 解决 方案 也 不 是 绝对 安全 的 ,因为 伪装 MAC 地 址 是 比较 容易 的 事 , 而 且 如 果 ACL 
控制 列表 过 大 , 则 可 能 引起 AP 工作 不 稳定 。 

无 线 局 域 网 中 MAC 地 址 过 滤 , 是 对 用 户 所 用 的 无 线 终 端的 MAC 地 址 进行 认证 。 
仅 当 用 户 的 MAC 地 址 在 AP 等 接 入 设备 的 MAC 地 址 列表 中 时 ,用 户 才能 接 入 到 网 络 中 
来 。 当 需要 使 用 网 络 的 用 户 发 生变 化 时 ,这 种 方式 要 求 MAC 地 址 列表 必须 随时 更 新 。 

无 线 局 域 网 中 MAC 地 址 过 滤 的 方式 ,只 能 提供 有 限 的 数据 来 源 真实 性 ,入 侵 者 利用 
网 络 侦 听 手段 很 容易 就 能 够 获取 传输 的 信息 。 另 外 .由 于 MAC 地 址 也 包含 在 传输 的 帧 
头 中 ,这 部 分 信息 也 会 被 非法 用 户 所 获取 。 市 面 上 的 许多 无 线 网 卡 都 允许 用 户 来 设 定 
MAC 地 址 ,因此 入 侵 者 可 以 通过 将 其 MAC 地 址 设 定 为 合法 用 户 的 MAC 地 址 接 入 到 无 
线 网 络 。 

。 RingMaster 的 基本 操作 能 力 。 
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Mu 5.2 使 用 MAC 认证 实现 接 入 控制 mem 
【实验 原理 】 
无 线 客 户 端的 MAC 地 址 如 果 与 无 线 交 换 机 数据 库 上 的 MAC 地 址 相 匹 配 , 则 无 线 
客户 端 通过 MAC 地 址 验证 ,能 够 访问 无 线 局 域 网 。 
【实验 步骤 】 
(1) 配置 无 线 交 换 机 的 基本 参数 。 
(D 无 线 交换 机 默认 IP 地 址 是 192. 168. 100. 1/24, 配 置 STA1 AY IP 地 址 为 192. 168. 
100. 2/24, 并 打开 浏览 器 登录 到 https: //192. 168. 100. 1, 弹 出 图 5-32 所 示 界 面 , 单 击 
“是 ”按钮 。 
系统 的 默认 管理 用 户 名 是 admin ,密码 为 空 ,如 图 5-33 所 示 。 


EHE] 192.168.100.1 


党 和 但 该 站 点 
O 00 05, SE 本 


o 该 安全 证 书 的 日 期 有 效 。 APU: O is 


uo: 


心安 全 证 书 上 的 名 称 无 效 ， 或 者 与 站 点 名 称 不 匹配 . 


记 住 我 的 密码 W 


是 否 继续 ? 
Eo aa 


图 5-32 登录 无 线 交 换 机 图 5-33 登录 无 线 交 换 机 


@ 输入 用 户 名 和 密码 后 就 进入 了 无 线 交 换 机 的 Web 配置 页 面 , 单 击 Start 按钮 , 进 
入 快速 配置 指南 ,如 图 5-34 Bros 。 


Monitor _ Maintain @ Save. 
WIZARDS 
eee) Nome 
SYSTEM Quick Start wizard will replace the current configuration 
General with a new one. 
IP Services 
Ports 
VLANs 4 
Security 
WIRELESS 
Access Points 
Services 
AUTHENTICATION 
Users 
Devices Ez] ul 
RADIUS 
(v) 


图 5-34 配置 无 线 交换 机 


O 选择 管理 无 线 交换 机 的 工具 RingMaster, 如 图 5-35 所 示 。 
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mee oF ARSE ee 


mm oh pena 


Select the management platform you plan to use for 
General Configuring and managng this switch n the future. 


Ports Hom wl youworags Wo [RingTastoc 
5mm 
Security > 
WIRELESS 
Bi 


Services 


AUTHENTICATION 
Users 


Devices 
RS 


= ER] 
图 5-35 配置 管理 无 线 交 换 机 的 工具 


@ 配置 无 线 交换 机 的 TP 地 址 、 子 网 掩 码 以 及 默认 网 关 , 如 图 5-36 所 示 。 


WIZARDS = 
ESE) contoeration View Help 
SYSTEM Specify the following parameters to connect this 

General switch to the network. 

1P Services — 

Ports Le = = 

VLANs 

pa TP mask bits 
WIRELESS Default router oo 

Access Points 

Services 
AUTHENTICATION 

Users 

Devices 

RADIUS 

=e n 


图 5-36 配置 无 线 交换 机 的 TP 地 址 
设置 系统 的 管理 密码 ,如 图 5-37 所 示 。 


sme 
Wem ~ nion 
SYSTEM Specity the password for future management access 
General to the system. 
men 
Ports Password 
om 


Security 
WIRELESS 

Access Points 

Services 
AUTHENTICATION 

Users 

Devices 


RADIUS 


Es =| 
图 5-37 设置 系统 的 管理 密码 
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© 设置 系统 的 时 间 以 及 时 区 ,如 图 5-38 所 示 。 


i ERR = 


Set the time and date on the switch. 


IP Services Date [8/08/2008 — 1] 
- BEEN] 


VLANs 
à Timezone | (GMT+8:00) Beijing, Chongqing, Hong Kong 
Security 


WIRELESS 
Access Points 
Services 

AUTHENTICATION 
Users 


Devices 
RADIUS 


| E Ed w 


图 5-38 设置 系统 的 时 间 


© 确认 并 完成 无 线 交换 机 的 基本 配置 ,如 图 5-39 所 示 。 


| Quick Start —— Configuration Summary View Help QA 
SYSTEM Review the configuration settings. 

General 

IP Services IP address 192.168.100.254/24 

Ports Default router 192.168.100.1 

VLANS Admin password Modified 

Security 
WIRELESS After you click Finish, web management will be 

Access Points disabled 

Services 
AUTHENTICATION 

Users 

Devices 

RADIUS 

| = 
b 


图 5-39 确认 并 完成 无 线 交 换 机 的 基本 配置 


(2) 通过 RingMaster 网 管 软 件 进行 无 线 交换 机 的 高 级 配置 。 

(D 运行 RingMaster, 地 址 为 127. 0. 0. 1 ,端口 为 443, 用 户 名 和 密码 默认 为 空 , 如 
5-40 所 示 。 

© 选择 Configuration. 进入 配置 界面 ,并 添加 被 管理 的 无 线 交 换 机 ,如 图 5-41 
所 示 。 
O 输入 被 管理 的 无 线 交换 机 的 IP 地 址 ,Enable 密码 ,如 图 5-42 一 图 5-44 所 示 。 
CD 完成 添加 后 ,进入 无 线 交换 机 的 操作 界面 ,如 图 5-45 所 示 o 
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x RingMaster 7. 


图 5-40 运行 RingMaster 网 管 软件 


v» RingMaster 7.0: Plan (shdd) 


Eile Services Jools Help 


Policies ‘EF Planning fi Verification Devices Monitor 
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Security 


Organizer + Configuration - shdd 


iB qj Third Party APs 


Network Plan 
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Country Code Chine (CH) 
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© Convert Auto AP 
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Config: O Errors: O Warnings Local Changes: none Metwork Changes: none Alaras [o [9] »] F 


图 5-41 配置 RingMaster 网 管 软件 


mus 5.2 使 用 MAC 认 证 实现 接 入 控制 


1.» RingMaster 7.0: Plan (shdd) 


wy Upload MX 


Uplosd NX 


Enter the MK’ s IP address and enable password and click Next to retrieve its configuration. 


mane paoa ee 
Enable Password [G0] 4— 


Updated [Enable Password] Value [exxeenes] 


Config: O Errors; O Warnings Local Changes: none Network Changes: none Alaras MOOT o Po o | 
图 5-42 配置 RingMaster 网 管 软 件 IP 地 址 (1) 


Tr RingMaster 7.0; Plan (shdd) 


C» Upload MX 


ding NX... 


wait for the MI s configuration to be retrieved and click Next to save the changes 


Querying Boot Status and Serial Number: 192.168.100.254:8889 
Device Model = MXR-2 

Booted Version = 6.0.7.2.0 

Next Version = 6.0.7.2.0 

Image Location = boot0:Mx060702,002 

Configuration Location = configuration 

Serial Number = 0721600029 


Uploading device: 192.168.100,254:8889 


Waiting for response from device: 192.168.100.254:8889 
Received network data for. 192.168.100.254:8889 
Processing network data for device: 192.168.100.254:8889 
Done processing uploaded data. 


Successfully uploaded device MXR-2-580CB8. 


jarnings Local Changes: none Network Changes: none Alaras 


图 5-43 配置 RingMaster 网 管 软 件 IP 地 址 (2) 
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3. RingMaster 7.0: Plan (shdd) 


Upload Complete 


Click Finish to complete the wizard. 


Adding device to the network plan. Please wait. 
Successfully added device MXR-2-560CBB to the network plan. 


图 5-44 配置 RingMaster 网 管 软 件 IP 地 址 (3) 
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Contig: Iker 2 Vernings Del Changes: ome muat egee nns stares M 0 DOT oe 
图 5-45 进入 无 线 交 换 机 的 操作 界面 
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(3) 配置 无 线 AP。 
(D 选择 Wireless— Access Points 选项 ,添加 AP, 如 图 5-46 所 示 。 


Configuration ~ Recess Points 


Security Wade [Optional >) 
eMe dato AP C) 
‘Lend Balancing [2] 


rwr C EC ESTE 


Quir test Configuration 
Omo 


p 
© conet ie AP 
Qe jer 

O cent tiet ar 


Lectien Pliey 
senio Profils 
Quire rev ies 


Config: 1 Error, 2 Warnings Level Changes: rera Betvork Cheer: aeee Aerma MEE 0 TE C] F 


图 5-46 配置 无 线 APC) 


@ 为 添加 的 AP 进行 命名 ,并 选择 连接 方式 ,默认 使 用 Distributed 模式 ,如 图 5-47 
所 示 。 


7,05 Pini {sh 


Neve Toste Help 


Matter Security Alarar 


ffi ~ Aese Paimta 


AP Identifier 
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ce ee nn -J 


Cup irre 2 exis Lond ange ame Hank hog ee Aes MM NR 5 IRR o] A 
图 5-47 配置 无 线 AP(2) 
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C) 将 需要 添加 AP 机 身后 的 SN 号 输入 对 话 框 ,用 于 AP 与 无 线 交 换 机 注册 过 程 , 如 
图 5-48 所 示 。 
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图 5-48 配置 无 线 AP 机 身后 的 SN 号 


CD 选择 添加 AP 的 具体 型 号 和 传输 协议 ,完成 AP 添加 ,如 图 5-49 Bros o 
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图 5-49 配置 AP 型 号 和 传输 协议 


160 


mus 5.2 使 用 MAC 认 证 实现 接 入 控制 mm 


(4) 配置 无 线 交 换 机 的 DHCP 服务 器 。 
© 选择 System> VLANs 选项 ,然后 选择 default vlan, 进 入 属性 配置 ,如 图 5-50 所 示 。 
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图 5-50 配置 无 线 交换 机 的 DHCP 服务 器 


© 选择 Properties DHCP Server 选项 ,激活 DHCP 服务 器 ,设置 地 址 池 和 DNS, 
存 , 如 图 5-51 所 示 。 


e ^ pieni —— PES 


Fais 


DE Server 


por n 
Stop IP nieve jac vt i 06 i 
Primary S Me ju ses i jtm DNS FAEERE TILES] TP HEHE bees nan 


Secondary DIS TP Mress 


e] etis cutn zt Address ] VLAD been 
Spamming Tree 

rx 

si 22 Traffic 
Beskeiet 13 Teste 


Las j 


Tatie Okras Me Led Amec 1 aviat Binet ee no ^ gs 
图 5-51 激活 无 线 交 换 机 的 DHCP 服务 器 
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M Bu 


e] Yorstientson 
Configuration — Perts 


@ 选择 System Ports 选项 ,将 无 线 交换 机 的 端口 POE 打开 ,并 保存 ,如 图 5-52 所 示 。 
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图 5-52 打开 无 线 交换 机 的 端口 POE 
(5) 配置 无 线 交 换 机 的 MAC 地 址 认证 。 


(D 选择 Wireless Wireless Services 选项 ,选择 添加 Custom Service Profile, 用 于 
MAC 认证 ,如 图 5-53 所 示 。 
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图 5-53 配置 无 线 交换 机 的 MAC 地 址 认证 
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© 输入 使 用 MAC 认证 服务 的 SSID 名 ,以 及 选择 是 否 使 用 SSID 加 密 , 如 图 5-54 
所 示 。 
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图 5-54 配置 无 线 交换 机 MAC 认证 服务 的 SSID(1) 


© 选择 采用 MAC 地 址 认证 ,如 图 5-55 所 示 。 
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图 5-55 配置 无 线 交 换 机 MAC 认证 服务 的 SSID) 
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@ 选择 该 SSID 对 应 的 用 户 VLAN ,如 图 5-56 所 示 。 
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图 5-56 配置 无 线 交换 机 SSID 对 应 用 户 VLAN 


© 添加 一 个 MAC 地 址 认证 的 规则 ,如 图 5-57 和 图 5-58 所 示 。 
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图 5-57 配置 无 线 交换 机 MAC 地 址 认证 规则 (1) 
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图 5-58 配置 无 线 交 换 机 MAC 地 址 认证 规则 (2) 


© 选择 无 线 交 换 机 本 地 数据 库 作 为 MAC 地址 认证 时 的 数据 库 , 如 图 5-59 和 图 5-60 
所 示 。 
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图 5-59 配置 无 线 交换 机 MAC 地 址 认证 数据 库 (1) 
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Service Profile 


MAC Access Rules 


Configure access rules that specify which AAA servers to use for MAC users. An access rule is selected based on the users 
SSID and MAC address, Tou can use “any” to match all SSIDs. A MAC Address glob can be a specific MAC address or can use 
wildeards to match multiple MAC addresses. The WAC address glob ^*^ matches all MAC addresses, 


WAC Access: * SSID: student-mac 


[eres] Caec] Ern ] Ces 
图 5-60 配置 无 线 交 换 机 MAC 地 址 认证 数据 库 (2) 


© 完成 配置 ,并 检查 配置 是 否 生效 ,如 图 5-61 所 示 。 
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图 5-61 完成 无 线 交 换 机 配置 


(6) 应 用 配置 ,配置 生效 ,如 图 5-62 和 图 5-63 所 示 。 
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图 5-62 应 用 无 线 交 换 机 配置 (1) 
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图 5-63 ”应 用 无 线 交 换 机 配置 (2) 
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(7) 添加 本 地 数据 库 , 将 需要 采用 MAC 认证 的 终端 MAC 地 址 导入 ,如 图 5-64 


所 示 。 


输入 STA1 的 无 线 网 卡 MAC 地 址 ,如 图 5-65 所 示 。 
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图 5-64 添加 本 地 数据 库 到 无 线 交换 机 
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图 5-65 输入 STAI 无 线 网 卡 MAC 地 址 
(8) 测试 MAC 认证 。 
打开 无 线 网 卡 .搜寻 student-mac. BE A iX SSID. WA 5-66 所 示 。 
如 果 MAC 地 址 正确 , 则 成 功 联 入 无 线 局 域 网 ,如 图 5-67 所 示 。 
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图 5-66 测试 MAC 认证 
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图 5-67 联 入 无 线 局 域 网 


(9) 查看 用 户 的 连接 状态 。 

在 RingMaster 的 Monitor— Clients by MX 中 ,查看 连接 的 用 户 信息 ,如 图 5-68 
所 示 。 

查看 用 户 的 具体 信息 : MAC 地 址 ,认证 类 型 ,如 图 5-69 所 示 。 

(10) 验证 测试 。 

JH STA2 ping STA1, 可 以 ping 通 。 
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图 5-68 查看 用 户 的 连接 状态 
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图 5-69 查看 用 户 连接 的 具体 信息 
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5.3 配置 无 线 局 域 网 中 的 WEP 加 密 


【实验 名 称 】 

配置 无 线 局 域 网 中 的 WEP 加 密 。 

【实验 目的 】 

掌握 无 线 局 域 网 WEP 加 密 的 概念 及 配置 方法 。 

【背景 描述 】 

小 张 从 学 校 毕 业 后 直接 进入 一 家 企业 担任 网 络 管理 员 , 他 发 现 公司 内 搜 到 很 多 
SSID, 直 接 就 可 以 接 人 无 线 局 域 网 ,没有 任何 认证 加 密 手 段 。 无 线 局 域 网 不 像 有 线 网 络 ， 
有 严格 的 物理 范围 ,无 线 局 域 网 的 无 线 信号 可 能 会 广播 到 公司 办 公 室 以 外 的 地 方 ,或 大 楼 
外 ,或 别 的 公司 ,都 可 以 搜 到 ,这 样 收 到 信号 的 人 就 可 以 随意 地 接 人 到 网 络 中 ,很 不 安全 。 
于 是 你 建议 采用 WEP 加 密 的 方式 对 无 线 网 进行 加 密 及 接 入 控制 ,只 有 输入 正确 密 钥 的 
用 户 才 可 以 接 入 到 无 线 局 域 网 中 ,并 且 数 据 传输 也 是 加 密 的 。 


【需求 分 析 】 

需求 : 防止 非法 用 户 连 接 进来 .防止 无 线 信 和 号 被 窃听 。 
分 析 : 共享 密 钥 的 接 入 认证 。 数 据 加 密 , 防 止 非法 窃听 。 
【实验 拓扑 】 


图 5-70 所 示 网 络 拓扑 ,是 某 企 业 规 划 的 无 线 局 域 网 络 规划 拓扑 ,由 于 网 络 内 部 没有 
任何 认证 加 密 手 段 ,很 多 SSID 直接 就 接 入 无 线 局 域 


网 ,希望 采用 WEP 加 密 的 方式 对 无 线 网 进行 加 密 及 vo | 
接 人 控制 ,只 有 输入 正确 密 钥 的 用 户 才 可 以 接 和 人 到 无 STAI 
线 局 域 网 中 ,并且 数据 传输 加 密 。 
【实验 设备 】 E MP-71/MP-372 
MXR-2 1 &; MP-71 1 台 ; 带 无 线 网 卡 的 PC S 
1 台 。 STA2 


图 5-70 某 企 业 规划 无 线 局 


【预备 知识 域 网 络 规划 拓扑 


* 无 线 局 域 网 基本 知识 。 

。 智能 无 线 产 品 的 基本 原理 。 

* RingMaster 的 基本 操作 能 力 。 

* 无 线 局 域 网 WEP 加 密 。 

所 有 经 过 Wi-Fi 认证 的 设备 ,都 支持 WEP( Wired Equivalent Privacy) 安 全 协定 , 它 
是 无 线 设备 中 最 基础 的 加 密 措施 ,很 多 用 户 都 是 通过 它 来 配置 提高 无 线 设 备 安全 的 。 采 
用 64 位 或 128 位 加 密 密 钥 的 RCA 加 密 算 法 ,保证 传输 数据 不 会 以 明文 方式 被 截获 。 
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WEP 加 密 其 实 是 802. 11b 标准 里 定义 一 个 用 于 无 线 局 域 网 (WLAN) 的 安全 性 协 
议 ,被 用 来 提供 和 有 线 LAN 同 级 的 安全 性 。LAN 天 生 比 WLAN 安全 ,因为 LAN 的 物 
理 结构 对 其 有 所 保护 ,部 分 或 全 部 网 络 埋 在 建筑 物 里 面 也 可 以 防止 未 授权 的 访问 。 而 经 
由 无 线 电波 的 WLAN 没有 同样 的 物理 结构 ,因此 容易 受到 攻击 和 干扰 。 

WEP 保密 协议 由 802. 11 标准 定义 ,是 最 基本 的 无 线 安 全 加 密 措 施 ,用 于 在 无 线 局 域 
网 中 保护 链 路 层 数据 ,其 主要 用 途 如 下 。 

(1) 提供 接 入 控制 ,防止 未 授权 用 户 访问 网 络 。 

(2) WEP 加 密 算 法 对 数据 进行 加 密 , 防 止 数 据 被 攻击 者 窃听 。 

G) 防止 数据 被 攻击 者 中 途 恶意 算 改 或 伪造 。 

WEP 加 密 的 目标 就 是 通过 对 无 线 电 波 里 的 数据 加 密 提 供 安全 性 ,如 同 端 - 端 发 送 一 
样 。WEP 特性 里 使 用 了 RSA 数据 安全 性 公司 开发 的 rc4 prng 算法 。 如 果 无 线 基 站 支持 
MAC 过 滤 ,推荐 连同 WEP 一 起 使 用 这 个 特性 (MAC 过 滤 比 加 密 安 全 得 多 ) 。 

WEP 加 密 采用 静态 的 保密 密 钥 ,各 WLAN 终端 使 用 相同 的 密 钥 访问 无 线 网 络 。 
WEP 采用 对 称 加 密 机 制 ,数据 的 加 密 和 解密 采用 相同 的 密 钥 和 加 密 算法 。 启 用 加 密 后 ， 
两 个 无 线 网 络 设备 要 进行 通信 ,必须 均 配 置 为 使 用 加 密 , 具 有 相同 的 密 钥 和 算法 。WEP 
支持 64 位 和 128 位 加 密 , 对 于 64 位 加 密 , 密 钥 为 10 个 十 六 进 制 字符 (0 一 9 和 A 一 F) 或 
5 个 ASCH 字符 ;对 于 128 位 加 密 , 密 钥 为 26 个 十 六 进 制 字符 或 13 个 ASCH 字符 。 

WEP 也 提供 认证 功能 , 当 加 密 机 制 功能 启用 ,客户 端 要 尝试 连接 上 AP 时 ,AP 会 发 
出 一 个 Challenge Packet 给 客户 端 ,客户 端 再 利用 共享 密 钥 将 此 值 加 密 后 送 回 存 取 点 以 
进行 认证 比 对 ,如 果 正 确 无 误 , 才 能 获准 存 取 网 络 的 资源 。40 位 WEP 具有 很 好 的 互 操作 
性 ,所 有 通过 Wi-Fi 组 织 认证 的 产品 都 可 以 实现 WEP 互 操作 。 现 在 , WEP 一 般 也 支持 
128 位 的 钥匙 ,提供 更 高 等 级 的 安全 加 密 。 

WEP 是 目前 最 普遍 的 无 线 加 密 机 制 ,但 同样 也 是 较为 脆弱 的 安全 机 制 ,存在 如 下 一 
些 缺 陷 。 

(1) 缺少 密 钥 管理 。 用 户 的 加 密 密 钥 必须 与 AP 的 密 钥 相同 ,并 且 一 个 服务 区 内 的 
所 有 用 户 都 共享 同一 把 密 钥 。WEP 标准 中 并 没有 规定 共享 密 钥 的 管理 方案 ,通常 是 手 
工 进行 配置 与 维护 。 由 于 同时 更 换 密 钥 的 费时 与 困难 ,所 以 密 钥 通常 长 时 间 使 用 而 很 少 
更 换 ,倘若 一 个 用 户 丢 失 密 钥 , 则 将 殉 及 到 整个 网 络 。 

(2) ICV 算法 不 合适 。WEP ICV 是 一 种 基于 CRC-32 的 用 于 检测 传输 噪音 和 普通 
错误 的 算法 。CRC-32 是 信息 的 线性 函数 ,这 意味 着 攻击 者 可 以 算 改 加 密 信 息 , 并 很 容易 
地 修改 ICV ,使 信息 表面 上 看 起 来 是 可 信和 的 。 能 够 算 改 即 加 密 数据 包 使 各 种 各 样 的 非常 
简单 的 攻击 成 为 可 能 。 

(3) RC4 算法 存在 弱点 。 在 RC4 中 ,人 们 发 现 了 弱 密 钥 。 所 谓 弱 密 钥 ,就 是 密 钥 与 
输出 之 间 存 在 超出 一 个 好 密码 所 应 具有 的 相关 性 。 在 24 位 的 IV 值 中 ,有 9000 多 个 弱 
密 钥 。 攻 击 者 收集 到 足够 的 使 用 弱 密 钥 的 包 后 ,就 可 以 对 它们 进行 分 析 , 只 需 尝试 很 少 的 
密 钥 就 可 以 接 入 到 网 络 中 。 

那么 在 WLAN 接 入 中 ,如 何 让 WEP 更 安全 呢 ? 

a) 使 用 多 组 WEP 密 钥 ,使 用 一 组 固定 WEP 密 钥 ,将 会 非常 不 安全 ,使 用 多 组 

172 


mu 5.3 配置 无 线 局 域 网 中 的 WEP hg m 


WEP 密 钥 会 提高 安全 性 ,但 是 请 注意 WEP 密 钥 保存 在 Flash 中 ,所 以 某 些 黑客 取得 你 的 
网 络 上 的 任何 一 个 设备 ,就 可 以 进入 你 的 网 络 。 

(2) 如 果 你 使 用 的 是 旧型 的 路 由 器 , 且 只 支持 WEP, 你 可 以 使 用 128 位 的 WEP 
Key, 这 样 会 让 你 的 无 线 网 络 更 安全 。 

(3) 定期 更 换 你 的 WEP 密 钥 。 

(4) 你 可 以 去 制造 商 的 网 站 下 载 一 个 固件 升级 ,升级 后 就 能 添加 WPA 支持 。 


【实验 原理 】 

WEP 加 密 方式 的 无 线 局 域 网 是 采用 共享 密 钥 形式 的 接 入 、 加 密 方式 , 即 在 AP 上 设 
置 了 相应 的 WEP 密 钥 ,在 客户 端 也 需要 输入 和 AP 端 一 样 的 密 钥 才 可 以 正常 接 人 ,并 且 
AP 与 无 线 客户 端的 通信 也 通过 了 WEP 加 密 , 即 使 有 人 抓 取 到 无 线 数据 包 , 也 看 不 到 里 
面相 应 的 内 容 。 

但 是 ,WEP 加 密 方式 存在 漏洞 ,现在 有 些 软 件 可 以 对 此 密 钥 进行 破解 ,所 以 不 是 最 安 
全 的 加 密 方式 。 但 是 由 于 大 部 分 的 客户 端 都 支持 WEP, 所 以 WEP 的 部 署 还 是 比较 广 
泛 的 。 


【实验 步骤 】 

(1) 配置 无 线 交 换 机 的 基本 参数 。 

(D 无 线 交 换 机 的 默认 TP 地 址 是 192. 168. 100. 1/24, 因 此 将 STAT 的 TP 地 址 配置 为 
192. 168. 100. 2/24 ,并 打开 浏览 器 登录 到 https://192. 168. 100. 1 ,弹出 图 5-71 所 示 界 
面 , 单 击 “ 是 ”按钮 。 

系统 的 默认 管理 用 户 名 是 admin ,密码 为 空 ,如 图 5-72 所 示 。 


SER P) 192.168.100.1 


学 ee ee 但 该 站 点 I 
o ESSRSEEIRISNISQSUS suse SCR 


© BRST AMAR. RP&0: f amin ~ 
sup: [ ] 
记 住 我 的 密码 QD 


心安 全 证 书 上 的 名 称 无 效 ， 或 者 与 站 点 名 称 不 匹配 


是 否 继续 ? 


CD | EEC 
图 5-71 登录 无 线 交 换 机 图 5-72 登录 无 线 交 换 机 密码 


© 输入 用 户 名 和 密码 后 就 进入 了 无 线 交 换 机 的 Web 配置 页 面 , 单 击 Start 按钮 , 进 
入 快速 配置 指南 ,如 图 5-73 所 示 。 

@ 选择 管理 无 线 交换 机 的 工具 RingMaster ,如 图 5-74 所 示 。 

@ 配置 无 线 交 换 机 的 IP 地 址 、 子 网 掩 码 以 及 默认 网 关 , 如 图 5-75 所 示 。 

O 设置 系统 的 管理 密码 ,如 图 5-76 所 示 。 

© 设置 系统 的 时 间 以 及 时 区 ,如 图 5-77 所 示 。 
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Quick Start wizard will replace the current configuration 
with a new one. 


El 


图 5-73 配置 无 线 交换 机 


Configuration Type View Help ED 


Select the management platform you plan to use for 
configuring and managing this switch in the future. 


How will you manage this 
system? 


图 5-74 配置 无 线 交换 机 管理 工具 
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图 5-75 


IP Configuration View Help £A 


Specify the following parameters to connect this 
switch to the network. 


Api? 168. 100. 
ae 92. 168. 100. 254 


IP mask bits = 
EE p 192. 168.100. 1] ] 


= 
配置 无 线 交换 机 管理 工具 的 IP 地 址 
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SYSTEM Specify the password for future management access 
General to the system. 


1P Services 
Ports 


VLANs 


Security 


Access Points 
Services 
‘AUTHENTICATION 
frets 
Devices 
RADIUS _ 


aa 
图 5-76 配置 无 线 交换 机 的 管理 密码 


Date and Time View H 
SYSTEM Set the time and date on the switch. 
General 
1P Services 98/2908 
Hore me [15:45:15 
VLANs 一 一 - 
Timezone [ (GNT+8:00) Beijing, Chongqing, Hong Kong 
Security 
WIRELESS 个 
Access Points 
Services 
AUTHENTICATION 
Users 
Devices 
RADIUS 


图 5-77 配置 无 线 交换 机 的 系统 时 间 
D 确认 并 完成 无 线 交换 机 的 基本 配置 ,如 图 5-78 所 示 。 


Configuration summary VewHelpEd —— 
Review the configuration settings. 
General 
1P Services 1P address 192.168.100.254/24 
Ports Default router 
VLANs Admin password 
Security 
WIRELESS After you click Finish, web management will be 1 
Access Points disabled. 
Sorvices 
AUTHENTICATION 
Users 
Devices 
a 
国 


图 5-78 确认 并 完成 无 线 交换 机 的 配置 
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(2) 通过 RingMaster 网 管 软 件 进行 无 线 交 换 机 的 高 级 配置 。 
(D 运行 RingMaster, 地 址 为 127. 0. 0. 1 ,端口 为 443, 用 户 名 和 密码 默认 为 空 , 如 
图 5-79 所 示 。 


$3 RingMaster 7.0 


RingMaster : 


图 5-79 通过 RingMaster 网 管 软 件 


@ 选择 Configuration, 进入 配置 界面 ,并 添加 被 管理 的 无 线 交 换 机 ,如 图 5-80 
所 示 。 


‘uy RingMaster 7.0: Plan (shdd) 


Eile Services Iols Melp 


+ 2 2. B.E. 


Organize Y © Configaratiom ~ shld 


G Third Party af : M. Crete 
Network Flan O create Mobility De 
Wetwork Plan Hame shdd © Create Mobility b 
E m Oceeate nia tes 
2.4 Gs Channel Set 1, 6, 11 


5 GHz Channel Set 149, 153, 157, 161, 165 


Hetwork Dessin 


Matwork Domain Hane 


Network Donain Seeds E 
I 
© Convert Auto AP 
© Renove Auto AP 
OFetwork Donain 


Config: O Ieren; Owning lei Came ama Ivtewk Changes; om Kerne MM © BR 8] 


图 5-80 进入 配置 界面 
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© 输入 被 管理 的 无 线 交换 机 的 IP 地 址 ,Enable 密码 ,如 图 5-81 一 图 5-83 所 示 。 


cy RingMaster 7,0: Plan (shdd) 


Upload NX 


Enter the MI s IP address and enable passvord and click Next to retrieve its configuration 


IP Address lez 168.100.254] m. 


Enable Password 


图 5-81 输入 被 管理 无 线 交换 机 的 IP 地 址 (1) 


RingMaster 7.0: Plan (shdd) 


X Upload MX 
Uploading NX... 


Please wait for the NT's configuration to be retrieved and click Next to save the changes. 


‘Querying Boot Status and Serial Number. 192,168.100.254:8889 
Device Model = MXR-2 


Image Location = boot0:Mx060702.002 
Configuration Location - configuration 
Serial Number - 0721600029 


Uploading device: 192.168.100.254:8889 
Waiting for response from device: 192.168.100.254:8889 
Received network data for: 192.168.100.254:8889 
Processing network data for device: 192.168.100.254:8889 
Done processing uploaded data, 


Successfully uploaded device MXR-2-560CB8. 


Config: O Errors; O Warnings Local Changes: mone — Betwork Changes: none Alaras MINOT © o o | 
图 5-82 输入 被 管理 无 线 交换 机 的 IP 地 址 (2) 
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1x RingMaster 7.0: Plan (shdd) 


‘Adding device to the network plan. Please wait. 
Successfully added device MXR-2-5600B8 to the network plan. 


Cfi 1 Errar; 2 eminp lend hme ema Teteork: ange! sm Marar MN 0 


图 5-83 输入 被 管理 无 线 交换 机 的 TP 地 址 (3) 


@ 完成 添加 后 ,进入 无 线 交换 机 的 操作 界面 ,如 图 5-84 所 示 。 
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图 5-84 配置 无 线 交换 机 的 操作 界面 


(3) 配置 无 线 AP。 
(D 选择 Wireless Access Points 选项 .添加 AP. WA 5-85 所 示 。 
© 为 添加 的 AP 进行 命名 ,并 选择 连接 方式 ,默认 使 用 Distributed 模式 ,如 图 5-86 
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所 示 。 
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图 5-86 命名 并 选择 连接 方式 


C 将 需要 添加 的 AP 机 身后 面 的 SN 号 输入 对 话 框 ,用 于 AP 与 无 线 交 换 机 的 注册 
过 程 ,如 图 5-87 所 示 。 


@ 选择 添加 AP 的 具体 型 号 和 传输 协议 ,完成 AP 添加 ,如 图 5-88 所 示 。 
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图 5-87 添加 AP 机 身后 的 SN 号 
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图 5-88 添加 AP 型 号 和 传输 协议 


(A) 配置 无 线 交换 机 的 DHCP 服务 器 。 
(D 选择 System VLANs 选项 ,然后 选择 default vlan, 进 入 属性 配置 .如 图 5-89 
所 示 。 
© 进入 Properties DHCP Server 选项 ,激活 DHCP 服务 器 ,设置 地 址 池 和 DNS, 保 
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图 5-89 配置 无 线 交 换 机 的 DHCP 服务 器 


存 , 如 图 5-90 所 示 。 
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图 5-90 激活 无 线 交换 机 的 DHCP 服务 器 


© 选择 System 一 Ports 选项 ,将 无 线 交 换 机 的 端口 POE 打开 ,并 保存 .如 图 5-91 
所 示 。 
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图 5-91 打开 无 线 交换 机 的 端口 POE 


(5) 配置 Wireless Services。 
CD 在 菜单 Configuration 下 ,选择 Wireless Wireless Services 选项 ,如 图 5-92 所 示 。 
n T E] 
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图 5-92 配置 Wireless Services 


@ 在 管理 页 面 右边 的 Create 下 面 单 击 Open Access Service Profile 链接 ,创建 一 个 
Service Profile, 如 图 5-93 所 示 。 

© 输入 实验 使 用 的 Service Profile. 名 为 Open. SSID Jy test-wep. SSID 类 型 为 
Encrypted, 即 加 密 的 ,如 图 5-94 所 示 。 
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图 5-93 创建 Service Profile 


Service Profile Identifier 


Enter a unique neme to identify the Service Profile and specify the SSID. You can also configure whether 
wireless traffic should be encrypted 


Wane {open 


SSID |test-wep 


em 


JA Service Profile already exists with the same key [Nane] 


FA 5-94 输入 实验 使 用 的 Service Profile 参数 


@ 选择 使 用 静态 的 WEP 加 密 方 式 , 如 图 5-95 所 示 。 


wx Open Access Service Profile 
Wireless Security 


Select one or more wireless security standards, You can configure an SSID to support any combination of 
RSN, WPA, and non-#PA clients. RSN (sometimes called YPA2) and WPA provide stronger security then YEP. 


oraz) O 
wea () 
Static WEP [V] 


[Updated [RSN (WPA2)] Value [No] 


[rrie] 
5-95 配置 静态 WEP 加 密 
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© 输入 密 钥 1234567890 , 接 和 人 无 线 客 户 端 都 需要 输入 正确 密 钥 才能 接 人 进来 ,如 
图 5-96 所 示 。 


Uy Open Access Service Profile 
WEP Keys 


Configure WEP keys and assign then to unicast and multicast traffic. 


"E Ey! eeececcccce! 


WEP Key 2 


WEP Key 3 


WEP Key 4 


WEP Unicast Key Index [1 
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WEP Multicast Key Index [i 


Updated [WEP Key 1] Value [4+######] 


[mene] L2. 
图 5-96 ”配置 输入 密 钥 


(teen J 


(0 VLAN Name 为 default, 如 图 5-97 所 示 。 


wx Open Access Service Profile 
Open Access VLAN 


Select the VLAN to use for Open Access users 


VLAN Name | default = 


[Updated [VLAN Name] Value [default] 


<Previous} [Next > ] | 


图 5-97 配置 VLAN Name 


@ Radio Profiles 使 用 default, 然 后 单 击 Finish 按钮 ,如 图 5-98 所 示 。 

这 样 便 成 功 创建 完 一 个 名 字 叫 做 Open 的 Service Profiles ,如 图 5-99 所 示 。 

将 刚才 所 做 的 配置 下 发 到 无 线 交 换 机 ,如 图 5-100 所 示 。 

弹出 的 窗口 出 现 Deploy completed 时 ,配置 下 发 完成 ,如 图 5-101 所 示 。 无 线 局 域 网 
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Radio Profile Selection 


Select an existing Radio Profile or choose to create a new one to associate with this Service Profile. 


Each 
radio is associated to a single Radio Profile which can associate to multiple Service Profiles. This allows 
a radio to support multiple wireless services, 


Dcreate new Radio Profile 


Radio Profiles 


Properties... 


< Previous 


图 5-98 配置 Radio Profiles 


Wireless Service Profiles 


图 5-99 创建 Service Profiles 


Taska 
M0 Changes E 
O eri 
Onna 
Cronte a 
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Sex a 
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图 5-100 配置 下 发 到 无 线 交 换 机 
便 会 广播 出 采用 WEP 加 密 方式 的 SSID 为 test-wep。 
O 测试 无 线 客户 端 连接 情况 。 


(D 打开 无 线 网 卡 ,搜寻 无 线 局 域 网 ,会 发 现 名 为 test-wep 的 SSID, 并 联 入 该 SSID, 
如 图 5-102 所 示 。 
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us Deploy Configuration 


een Fey — "ume 
(J Status: Completed (1) 
= 


-8 62x) Completed Deploy completed. 


Mistery Selected Errers 
M»: Deploy started, 

M»-8: Sending configuration changes 

M»-8: Applied configuration changes 

M»-8: Saving MX configuration 

M»-8: Deploy completed. 


Deploy completed - 0 failed: 1 succeeded 


图 5-101 配置 下 发 完成 


选择 无 线 网 络 
单 击 以 下 列表 中 的 项 目 以 连接 到 区 域内 的 无 线 网 络 或 区 得 更 多 信息 W. 


人 

AORTA MOTO 

相关 任务 | 人 Fie 

p THESE | 未 设置 安全 机 和 的 无 线 网 络 
Gq) trm 

i 


^f 月 用 安全 的 无 线 网 络 WPA) 
dg Berane p NEETINGROON 


ER d 


党 BERS 


test-vep. 


qu 
| N 启用 安全 的 无 线 网 络 


B zhaipy 


图 5-102 配置 测试 无 线 客户 端 连 接 
© 选中 该 SSID, 单 击 “连接 ”按钮 ,此 时 会 提示 输入 WEP 密 钥 ,输入 密 钥 
1234567890, ,如 图 5-103 所 示 。 


© 单 击 “ 连 接 ” 按 钮 之 后 ,无 线 客户 端 便 可 以 正确 连接 到 无 线 局 域 网 了 ,如 图 5-104 
所 示 。 


无 线 客户 端 可 以 ping 通 无 线 交换 机 地 址 和 STAT 的 地 址 。 
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ns Wee Eee (也 称 作 WEP SHR rA 密 钥 )。 网 络 密 钥 帮助 阻 


图 5-103 登录 选中 SSID 连接 


OV FCB. Pd oe Hee 5 
网 络 任务 选择 无 线 网 络 
LE 单 击 以 下 列表 中 的 项 目 以 连接 到 区 城内 的 无 线 网 络 或 获得 更 多 信息 W. 


T G [p 7 
L 


党 启用 安全 的 无 线 网 络 


test 
相关 任务 


oD 
d THF 未 设置 安全 机 制 的 无 线 网 络 
« P test-wpa 


fy Raa Wiss — 


Q T rhaipy 
P PRB b" 
BESS 
w newland 
2, 
D somsenses mains 


& eric 
Ile = 


图 5-104 客户 端正 确 连 接 无 线 局 域 网 


mU 配置 MAC 地 址 过 滤 ( 自 治 型 AP) 


【实验 名 称 】 

配置 MAC 地 址 过 滤 ( 自 治 型 AP)。 

【实验 目的 】 

掌握 MAC 地 址 过 滤 技 术 的 原理 及 配置 方法 。 

【背景 描述 】 

在 会 议 室 开机 密会 议 时 ,公司 不 希望 其 他 的 人 能 够 接 入 到 会 议 室 的 无 线 局 域 网 中 , 因 
此 网 络 管理 员 建 议 可 以 在 会 议 室 的 AP 设备 上 启用 MAC 地 址 过 滤 技 术 . 使 得 只 有 参与 
会 议 的 人 员 才 可 以 接 入 到 无 线 局 域 网 中 ,其 他 的 人 无 法 接 入 。 

【需求 分 析 】 

需求 : 保证 机 密会 议 进行 时 ,网 络 接 入 的 安全 性 。 
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分 析 : 对 于 机 密会 议 , 不 希望 其 他 无 关 人 员 接 入 到 会 议 室 的 无 线 局 域 网 中 来 ,在 无 线 
设备 上 进行 MAC 地 址 过 滤 , 可 以 严格 控制 接 入 的 用 户 。 


【实验 拓扑 】 
图 5-105 所 示 网 络 拓扑 ,是 某 企业 规划 的 会 议 室 无 线 局 域 网 络 规划 拓扑 ,希望 实现 在 
会 议 室 的 AP 设备 上 启用 MAC 地 址 过 滤 技术 ,使 得 只 n 


的 人 无 法 接 入 ,严格 控制 接 入 的 用 户 。 


【实验 设备 】 $ . w& 


有 参与 会 议 的 人 员 才 可 以 接 入 到 无 线 局 域 网 中 ,其 他 $5. 
STAI RG-WGS4P A KS 


RG-WG54P 1 台 ;PC 24. (e STA3 
【预备 知识 】 

F RIRIA N; 图 5-105 菜 企业 会 议 室 无 线 
* MAC 地 址 过 滤 技术 。 局 域 网 络 规划 拓扑 


MAC 地 址 是 网 络 设备 在 全 球 的 唯一 编号 , 它 也 就 
是 通常 所 说 的 物理 地 址 、 硬 件 地 址 、 适 配器 地 址 或 网 卡 地 址 。MAC 地 址 可 用 于 直接 标识 
某 个 网 络 设备 ,是 目前 网 络 数 据 交 换 的 基础 。 每 一 个 网 络 设备 ,不 论 是 有 线 还 是 无 线 , 都 
有 一 个 唯一 的 标识 叫做 MAC 地 址 (媒体 访问 控制 地 址 )。 这 些 地 址 一 般 表 示 在 网 络 设备 
上 ,网 卡 的 MAC 地 址 可 以 用 这 个 办 法 获得 : 打开 命令 行 窗 口 ,输入 ipconfig/all, 然 后 出 
现 很 多 信息 ,其 中 物理 地 址 (Physical Address) 就 是 MAC 地 址 。 现 在 大 多 数 的 二 层 交 换 
机 都 可 以 支持 基于 物理 端口 配置 MAC 地 址 过 滤 表 ,用 于 限定 只 有 与 MAC 地 址 过 滤 表 
中 规定 的 一 些 网 络 设备 有 关 的 数据 包 才 能 使 用 该 端口 进行 传递 。 通 过 MAC 地 址 过 滤 技 
术 可 以 保证 授权 的 MAC 地 址 才能 对 网 络 资源 进行 访问 。 

获得 更 大 安全 性 的 另 一 个 方法 是 无 线 MAC 过 滤 ,大 多 数 无 线路 由 器 都 支持 这 个 功 

fE. MAC 地 址 过 滤 是 对 用 户 所 用 的 无 线 终端 的 MAC 地 址 进行 认证 。 仅 当 用 户 的 MAC 
地 址 在 AP 等 接 入 设备 的 MAC 地 址 列表 中 时 ,用 户 才能 接 入 到 网 络 中 来 。 当 需要 使 用 
网 络 的 用 户 发 生变 化 时 ,这 种 方式 要 求 MAC 地 址 列表 必须 随时 更 新 。 可 以 想像 ,在 一 些 
用 户 流动 性 比较 大 的 场合 ,这 一 工作 会 是 多 么 烦琐 。 因 此 ,一般 来 说 只 有 小 型 企业 内 部 网 
络 才 会 采用 这 种 方式 。MAC 地 址 过 滤 是 通过 预先 在 AP 中 写 和 合法 的 MAC 地 址 列表 ， 
只 有 当 客 户 机 的 MAC 地 址 和 合法 MAC 地 址 表 中 的 地 址 匹配 ,AP 才 允 许 客户 机 与 之 通 
言 , 实 现 物理 地 址 过 滤 。 这 样 可 防止 一 些 不 太 熟 练 的 和 信 侵 初学 者 连接 到 我 们 的 WLAN 
上 ,不 过 对 老练 的 攻击 者 来 说 ,是 很 容易 被 从 开放 的 无 线 电波 中 截获 数据 帧 ,分 析出 合法 
用 户 的 MAC 地 址 的 ,然后 通过 本 机 的 MAC 地 址 来 伪装 成 合法 的 用 户 ,非法 接 人 你 的 
WLAN 中 。 

MAC 地 址 过 滤 的 方式 也 只 能 提供 有 限 的 数据 来 源 真 实 性 。 入 侵 者 利用 网 络 侦 听 手 
段 很 容易 就 能 够 获取 传输 的 信息 。 另 外 ,由 于 MAC 地 址 也 包含 在 传输 的 帧 头 中 ,这 部 分 
信息 也 会 被 非法 用 户 获 取 。 市 面 上 的 许多 无 线 网 卡 都 允许 用 户 来 设 定 MAC 地 址 ,因此 
入侵 者 可 以 通过 将 其 MAC 地 址 设 定 为 合法 用 户 的 MAC 地 址 来 接 人 到 无 线 网 络 。 对 于 
无 线 网 络 管理 员 来 说 ,启用 MAC 地 址 过 滤 可 以 阻止 未 经 授权 的 无 线 客户 端 访 问 AP 及 
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进入 内 网 ,这 确实 可 以 阻止 一 部 分 恶意 攻击 行为 。 不 过 ,单纯 依靠 MAC 地 址 过 滤 来 阻止 
攻击 者 是 不 可 靠 的 。 


【实验 原理 】 

MAC 地 址 , 即 网 卡 的 物理 地 址 ,也 称 硬件 地 址 或 链 路 地 址 ,这 是 网 卡 自身 的 唯一 标 
识 。 通 过 配置 MAC 地 址 过 滤 功 能 可 以 定义 某 些 特定 MAC 地 址 的 主机 可 以 接 入 此 无 线 
局 域 网 ,其 他 主机 被 拒绝 接 入 。 从 而 达到 访问 控制 的 目的 ,避免 非 相关 人 员 随 意 接 入 网 
络 ,窃取 资源 。 


【实验 步骤 】 

OD 配置 STA1, 与 RG-WG54P 相连 接 。 

将 STAl 和 RG-WG54P 供电 模块 的 Network 口 通过 直通 线 连接 。 

© 配置 STA1 本 地 连接 的 TCP/IP 设置 , 单 击 “ 确 定 ” 按 钮 完成 设置 ,如 图 5-106 
所 示 。 

IP 地 址 : 192.168.1.10 子 网 掩 码 : 255.255.255.0 ”默认 网 关 : 192. 168.1.1 


192 .168 .1 .1 


5-106 配置 本 地 连接 TCP/IP 信息 


© 验证 测试 。 在 STA1 命令 行 下 输入 ipconfig ,查看 本 地 连接 的 IP 设置 ,配置 如 下 。 

IP 地 址 : 192. 168. 1. 10 子 网 掩 码 : 255. 255. 255. 0 

默认 网 点 : 192. 168.1.1 

(2) 配置 RG-WG54P, 搭 建 基 础 结构 (Infrastructure) 模 式 无 线 局 域 网 。 

(D STAI 登录 RG-WG54P 管理 页 面 (http: //192. 168. 1. 1, 默 认 密 码 为 default) ,如 
图 5-107 所 示 。 

© 进入 路 径 : 选择 “配置 >“ 常规” 选项 ,配置 IEEE 802. 11 参数 ,如 图 5-108 所 示 。 

ESSID: 配置 基础 结构 模式 无 线 局 域 网 名 称 (如 labtestl) 。 
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图 5-107 登录 RG-WG54P 管理 页 面 
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图 5-108 配置 常规 IEEE 802. 11 参数 


信道 /频段 : 选择 基础 结构 模式 无 线 局 域 网 工作 信道 (如 CH 6 / 2437MHz) 。 

单 击 “应 用 ?按钮 ,完成 无 线 接 人 点 设置 。 

(3) 配置 STA2, 加 入 基础 结构 模式 无 线 局 域 网 。 

(D 在 STA2 上 安装 无 线 网 卡 RG-WG54U 以 及 客户 端 软件 IEEE 802. 11g Wireless 
LAN Utility. 

© Æ Windows 控制 面板 中 ,打开 网 络 连 接 页 面 ,如 图 5-109 所 示 。 

© 右键 单 击 “ 无 线 局 域 网 连接 ”图 标 ,从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,如 


m— 5.4 配置 MAC 地 址 过 滤 ( 自 治 型 AP) mmm 
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图 5-110 所 示 。 

@ 在 弹出 对 话 框 中 的 “常规 "选项 卡 中 , 双 
sli" Internet 协议 (TCP/IP)” 选 项 ,如 图 5-111 
所 示 。 

C) 配置 STA2 无 线 网 卡 的 TCP/IP 设置 , 单 
击 “ 确 定 ” 按 钮 完成 设置 ,如 图 5-112 所 示 。 

IP 地 址 : 192. 168. 1. 20 

CT Wit. 255. 255. 255. 0 图 5-110 ”选择 “属性 ”命令 

默认 网 关 : 192. 168. 1.1 


I| W AEGIS Protocol (IEEE 802.1x) v2.3.1.9 
回 "PT Hetwork Monitor Driver 


图 5-111 1TJF"Internet 协议 CTCP/IP)” 图 5-112 配置 STA2 无 线 网 卡 的 TCP/IP 设置 
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© 运行 IEEE 802. 11g Wireless LAN Utility. 双击 桌面 右 下 角 的 任务 栏 图 标 ,如 
图 5-113 所 示 。 


5-113 运行 Wireless LAN Utility 


(D 在 Configuration 选项 卡 中 ,配置 加 入 基础 结构 模式 无 线 局 域 网 ;或 在 Site Survey 
选项 卡 中 可 发 现 所 搭建 的 基础 结构 模式 无 线 局 域 网 , 单 击 Join 按钮 即 可 加 入 网 络 ,如 
图 5-114 和 图 5-115 所 示 。 


图 5-115 配置 基础 结构 模式 无 线 局 域 网 


OD 验证 测试 。 
(D 在 STA2 的 IEEE 802. 11g Wireless LAN Utility 可 以 看 到 如 下 信息 ,如 图 5-116 


umm 192 m= 


mums 5.4 配置 MAC 地 址 过 小 (自治 型 AP) mmm 


5-116 ”验证 测试 Wireless LAN Utility 信息 


State; <Infrastructure> - [ESSID]-[ 无 线 接 入 点 的 MAC 地 址 ]。 

Current Channel; 基础 结构 模式 无 线 局 域 网 工作 信道 。 

@ STAI 和 STA2 能 够 相互 ping 通 。 

(5) 配置 STA3, 加 入 基础 结构 模式 无 线 局 域 网 。 

(D STA3 安装 无 线 网 卡 RG-WG54U 以 及 客户 端 软件 IEEE 802. 11g Wireless LAN 
Utility。 

@ 配置 STA3 无 线 网 卡 的 TCP/IP 设置 , 单 击 “ 确 定 ” 按 钮 完成 设置 ,如 图 5-117 


所 示 。 
IP 地 址 : 192. 168. 1. 30” 子 网 掩 码 : 255.255.255.0 ”默认 网 关 : 192. 168. 1.1 
2x! 


5-117 配置 无 线 网 卡 的 TCP/IP 设置 
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© 运行 IEEE 802. 11g Wireless LAN Utility. 双击 桌面 右 下 角 的 任务 栏 图 标 , 如 
图 5-118 所 示 。 


5-118 运行 IEEE 802. 11g Wireless LAN Utility 


(D 在 Configuration 选项 卡 中 ,配置 加 入 基础 结构 模式 无 线 局 域 网 ;或 在 Site Survey 
选项 卡 中 可 发 现 所 搭建 的 基础 结构 模式 无 线 局 域 网 , 单 击 Join 按钮 即 可 加 入 网 络 ,如 
图 5-119 和 图 5-120 Brz 。 


图 5-120 配置 基础 结构 无 线 局 域 网 


(6) 验证 测试 。 
(D 在 STA3 的 IEEE 802. 11g Wireless LAN Utility 可 以 看 到 如 下 信息 ,如 图 5-121 
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所 示 。 


State; <Infrastructure>-[ ESSID |-[ £X EE AAA MAC 地 址 ] 。 
Current Channel; 基础 结构 模式 无 线 局 域 网 工作 信道 。 


(ie reee O02. 11e Vieeless LAW 二 
Configuration |Site Survey | About | 


Profile: [nfra> "ANT" y» gave Delete 


Configuration 


SSID: faeces Advance 

Network Type: [Infrastructure =] Security Enabled Conti 
Ad-Hoc Channel z 

Transmit Rate: [Auto z Default Apply 


-Status — 
StateC[anfrastructure> - labtest! — 00.60.83.22.96.5E J 
Current Channel: [6 Current Tx Rate: 24 Mbps 
Throughput (Packets/sec): TX b RE E 
Link Quality: Good(B0X) BEN [] 
Signal Strength: Good (66%) LÍ a Bescan 


图 5-121 验证 测试 IEEE 802. 11g Wireless LAN Utility 信息 


@ STA1,STA2,STAS 能 够 相互 ping 通 

(7) 配置 RG-WG54P, 实 现 MAC 地 址 过 滤 功 能 

(D 查看 STA2 的 MAC 地 址 ,方法 如 下 

选择 “开始 ”一 运行 ”命令 ;输入 cmd, 单 击 “ 确 定 ” 按 钮 ;输入 ipconfig/all, 无 线 局 域 
网 连接 的 Physical Address 即 是 无 线 客 户 端 MAC 地 址 ,如 图 5-122 Bros. 


ioj xj 


: NB 802.11g ess LAN USB Adapter 
18878» 
60-B3-F0-D6—41 


EXT 


图 5-122 查看 STA2 的 MAC 地 址 


© STA1 登录 RG-WG54P 管理 页 面 (http: //192. 168. 1. 1, 默 认 密 码 为 default) 。 
O 进入 路 径 : 选择 “配置 ">“ 接 入 控制 ”选项 ,可 以 看 到 MAC 地 址 过 滤 有 两 种 模式 : 
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允许 模式 和 拒绝 模式 。 人 允许 模式 下 ,只 有 MAC 地 址 包含 在 地 址 列表 中 的 无 线 客户 端 可 
以 接 和 网络 ;拒绝 模式 下 ,除了 MAC 地 址 包含 在 地 址 列表 中 的 无 线 客户 端 之 外 ,其 他 无 
线 客户 端 均 可 以 接 入 网 络 , 如 图 5-123 所 示 。 
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图 5-123 登录 RG-WG54P 管理 页 
(D 进入 路 径 ; 选择 “配置 ">“ 接 入 控制 ”选项 ,选择 “允许 模式 " 单 选 按钮 ;输入 STA2 
MAC 地 址 , 单 击 “ 添 加 ”按钮 (MAC 地 址 查看 方法 参见 注意 事项 ); 单 击 “ 应 用 ”按钮 , 完 
MAC 地 址 过 滤 功 能 允许 模式 的 配置 ,如 图 5-124 所 示 。 
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图 5-124 配置 MAC 地 址 过 滤 功能 
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— 5.4 配置 MAC 地 址 过 滤 ( 自 治 型 AP) ---» 


(8) 验证 测试 。 
(D 查看 RG-WG54P 配置 .确认 在 “配置 ”>“ 接 入 控制 页面,“ 允许 模式 ” 单 选 按 钮 已 
勾 选 ,STA2 的 MAC 地 址 存在 于 地 址 列表 中 ,如 图 5-125 所 示 。 
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BI 5-125 验证 测试 MAC 地 址 


© STA2 可 以 接 人 无 线 局 域 网 ,可 以 ping iÑ STAT, 

© STA3 可 以 发 现 无 线 局 域 网 ,但 是 无 法 接 人 。 至 此 .MAC 地 址 过 滤 功 能 允许 模式 
实验 完成 。 

(9) 配置 RG-WG54P, 实 现 MAC 地 址 过 滤 功 能 。 

(D STAI 登录 RG-WG54P 管理 页 面 (http: //192. 168. 1.1, 默 认 密码 为 default) 。 

© 进入 路 径 : 选择 “配置 ”>“ 接 入 控制 "选项 ,选择 “拒绝 模式 " 单 选 按钮 ;输入 STA2 
MAC 地 址 , 单 击 “ 添 加 ”按钮 ; 单 击 “ 应 用 ”按钮 ,完成 MAC 地 址 过 滤 功能 拒绝 模式 的 配 
置 ,如 图 5-126 所 示 。 

(10) 验证 测试 。 

(D 查看 RG-WG54P 配置 ,确认 在 “配置 ">“ 接 入 控制 ”页面 ,“ 拒 绝 模 式 " 单 选 按 钮 已 
勾 选 ,STA2 的 MAC 地 址 存在 于 地 址 列表 中 ,如 图 5-127 所 示 。 

© STA2 可 以 发 现 无 线 局 域 网 .但 是 无 法 接 入 。 

© STA3 可 以 接 入 无 线 局 域 网 ,可 以 ping 通 STA1。 至 此 ,MAC 地 址 过 滤 功 能 的 拒 
绝 模 式 测试 完成 。 


【注意 事项 】 
AP 中 填 入 的 MAC 地 址 需要 为 测试 主机 的 真实 地 址 。 
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图 5-127 ”验证 测试 配置 
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5.5 配置 SSID 隐藏 (自治 型 AP) mm 


局 -局 配置 SSID 隐藏 (自治 型 AP) 


【实验 名 称 】 
配置 SSID 隐藏 (自治 型 AP)。 


【实验 目的 】 
掌握 SSID 隐藏 技术 的 原理 及 配置 方法 。 


【背景 描述 】 

公司 无 线 局 域 网 建设 好 后 ,大 家 都 觉得 很 方便 。 但 是 ,不 久 后 有 同事 反映 一 些 不 是 本 
公司 的 人 ,甚至 隔壁 公司 的 人 也 很 容易 就 接 人 到 本 公司 的 无 线 局 域 网 中 ,给 公司 的 网 络 安 
全 和 信息 安全 带 来 很 大 的 隐患 ,因此 作为 公司 网 络 管理 员 必 须 马 上 解决 这 个 问题 ,在 AP 
上 关闭 SSID 公告 ,使 得 非 本 公司 的 人 员 无 法 得 到 网 络 的 SSID, 从 而 不 能 接 和 人 到 无 线 局 域 
网 中 。 

【需求 分 析 】 

需求 : 保证 网 络 的 私密 性 。 

分 析 : SSID 作为 区 分 不 同 无 线 局 域 网 的 标识 ,在 开启 SSID 隐藏 功能 之 后 ,无 线 局 域 
网 将 不 会 向 外 界 通 告 它 的 存在 ,从 而 保证 了 公司 无 线 局 域 网 的 私密 性 。 


【实验 拓扑 】 
图 5-128 所 示 网 络 拓扑 ,是 某 企 业 规 划 无 线 局 域 网 络 规划 拓扑 ,和 希望 在 AP 上 关闭 
SSID 公告 ,使 得 非 本 公司 的 人 员 无 法 得 到 网 络 的 SSID, STAI 
从 而 不 能 接 入 到 无 线 局 域 网 中 ,保证 了 公司 无 线 局 域 网 
的 私密 性 。 
【实验 设备 】 RG-WG54PA STA2 
RG-WG54P 1 台 ;PC 2 台 。 S> © LS 
【预备 知识 图 5-128 ” 某 企 业 规划 无 线 局 
。 无 线 局 域 网 基本 知识 。 eet 


。 SSID 隐藏 技术 。 

SSID 是 用 来 区 分 不 同 的 网 络 或 自治 域 的 ,简单 地 说 ,SSID 就 是 一 个 局 域 网 的 ID. fit 
多 可 以 有 32 个 字符 。SSID 只 不 过 是 一 个 标识 ,在 连接 AP 的 过 程 , 单 击 右 下 角 的 图 标 ， 
选择 要 连接 的 SSID, 如 果 需 要 认证 ,填写 两 遍 密码 ,这 样 就 完成 了 无 线 网 的 连接 。 

为 什么 接 入 用 户 能 看 到 SSID? 那 是 因为 AP 在 设置 的 时 候 , 打 开 了 Broadcast SSID 
选项 ,目的 是 方便 接 入 用 户 的 连接 。 首 先 来 看 一 下 AP 是 如 何 将 SSID 广播 出 去 的 。AP 
只 要 接 通电 源 就 会 发 送 Beacon frame( 信 标 帧 ) 广 播 ,BI( 信 标 帧 的 发 送 间隔 ) 为 100ms, 也 
就 是 说 每 秒 钟 发 送 10 个 信 标 。 
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看 一 下 捕捉 到 的 Beacon frame 信 标 帧 : 最 基本 信号 强度 ,所 在 Channel( 信 道 ), 当 
然 还 有 SSID parameter set,test lab 等 。 如 果 AP 广播 SSID, 那 么 信和 标 帧 中 包含 SSID 的 
信息 就 会 被 添加 到 其 中 被 广播 出 去 ,这 样 在 PC“ 查 看 无 线 网 络 " 时 ,就 能 看 到 有 这 么 一 
个 SSID 的 存在 。 对 于 广播 SSID 的 AP. PC 能 够 从 “查看 无 线 网 络 " 看 到 SSID, 单 击 想 
连接 的 SSID 实际 上 就 是 在 发 送 探测 请 求 ,或 叫 连 接 请 求 ,AP* 应 答 ”, 确 认 身 份 ,建立 连 
接 。 不 广播 SSID 的 连接 过 程 就 稍微 复杂 一 些 了 ,因为 AP 不 广播 SSID, PC 是 无 法 知道 
要 向 哪个 信道 去 发 送 连接 请 求 的 ,所 以 这 时 候 PC 会 向 全 部 13 个 信道 发 送 探测 请 求 ， 
直到 收 到 AP 的 应 答 。 不 广播 SSID 的 Beacon 帧 是 什么 样 的 呢 ? SSID parameter set 
"0000000000000000", Beacon 帧 里 不 再 包含 SSID 信息 。“ 隐 身 术 ”就 是 这 么 实 
现 的 。 


【实验 原理 】 

SSID 用 来 区 分 不 同 的 无 线 局 域 网 ,最 多 可 以 有 32 个 字符 ,无 线 网 卡 设置 了 不 同 的 
SSID 就 可 以 进入 不 同 的 无 线 局 域 网 。 

SSID 通常 由 AP 广播 出 来 ,通过 无 线 客户 端 可 以 查看 当前 区 域 可 用 无 线 局 域 网 
SSID。 但 是 在 无 线 局 域 网 中 ,出 于 安全 考虑 可 以 不 广播 SSID, 此 时 无 线 客户 端 就 要 手工 
设置 SSID 才能 进入 相应 网 络 。 


【实验 步骤 】 

COD 配置 STAT. 45 RG-WG54P 相连 接 。 

(D 配置 STA1 本 地 连接 的 TCP/IP 设置 , 单 击 “ 确 定 ” 按 钮 完成 设置 ,如 图 5-129 
所 示 。 

IP 地 址 : 192.168.1.10 子 网 掩 码 : 255.255.255.0 ”默认 网 关 : 192. 168. 1.1 


图 5-129 配置 本 地 连接 TCP/IP 


© 验证 测试 。 在 STA] 命令 行 下 输入 ipconfig, 查 看 本 地 连接 的 卫 设 置 ,配置 如 下 。 
mum 200 mm 


— 5.5 配置 SSID 隐藏 (自治 型 AP) 


IP Shh: 192. 168. 1.10 子 网 掩 码 : 255.255.255.0 默认 网 关 : 192. 168. 1.1 

(2) 配置 RG-WG54P, 搭 建 基础 结构 模式 无 线 局 域 网 。 

(D STA1 登录 RG-WG54P 管理 页 面 (http: //192. 168. 1. 1, 默 认 密码 为 default) ,如 
图 5-130 所 示 。 
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Fl 5-130 配置 RG-WG54 


© 进入 路 径 : 选择 "配置 "一 “常规 ”选项 ,配置 IEEE 802. 11 参数 。 

ESSID: 配置 基础 结构 模式 无 线 局 域 网 名 称 ( 如 labtestl) 。 

信道 /频段 : 选择 基础 结构 模式 无 线 局 域 网 工作 信道 (如 “CH 06 / 2437MHz”) 。 
单 击 “ 应 用 ”按钮 ,完成 无 线 接 入 点 设置 ,如 图 5-131 所 示 。 
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图 5-131 配置 常规 IEEE 802. 11 参数 
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(3) 配置 STA2, 加 入 基础 结构 模式 无 线 局 域 网 。 

(D STA2 安装 无 线 网 卡 RG-WG54U 以 及 客户 端 软件 IEEE 802. 11g Wireless LAN 
Utility. 

© Æ Windows 控制 面板 中 ,打开 网 络 连接 页 面 ,如 图 5-132 所 示 。 
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图 5-132 ”打开 网 络 连接 页 面 


C 右键 单 击 * 无 线 局 域 网 连接 ”图 标 , 从 弹出 的 快捷 菜单 中 选择 "属性 ?命令 ,如 


图 5-133 所 示 。 

CD 在 “常规 ”选项 卡 中 ,双击 “Internet 协议 
(TCP/IP)” 选 项 ,如 图 5-134 所 示 。 

© 配置 STA2 无 线 网 卡 的 TCP/IP 设置 ， 
单 击 “ 确 定 ” 按 钮 完成 设置 , 如 图 5-135 


所 示 。 
IP 地 址 : 192. 168. 1. 20 
Mii. 255. 255. 255. 0 图 5-133 ”打开 无 线 局 域 网 连接 


默认 网 关 : 192. 168. 1.1 

© 运行 IEEE 802. 11g Wireless LAN Utility, 双击 桌面 右 下 角 的 任务 栏 图 标 ,如 
图 5-136 所 示 。 

(D 在 Configuration 选项 卡 中 ,配置 加 入 基础 结构 模式 无 线 局 域 网 ;或 在 Site Survey 
选项 卡 中 可 发 现 所 搭建 的 基础 结构 模式 无 线 局 域 网 , 单 击 Join 按钮 即 可 加 入 网 络 ,如 
图 5-137 和 图 5-138 所 示 。 
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5-134 打开 *Internet 协议 (TCP/IP)” 项 5-135 配置 无 线 网 卡 的 TCP/IP 信息 


DA 


5-136 ”运行 IEEE 802. 11g Wireless LAN Utility 


图 5-137 运行 IEEE 802. 11g Wireless LAN Utility 


(4) 验证 测试 。 
(D f£ STA2 ff] IEEE 802. 11g Wireless LAN Utility 可 以 看 到 如 下 信息 ,如 图 5-139 
所 示 。 
State; <Infrastructure> - [ESSID]-[ 无 线 接 入 点 的 MAC 地址 ] 。 
Current Channel: 基础 结构 模式 无 线 局 域 网 工作 信道 。 
© STAI 和 STA2 能 够 相互 ping i. 
mum 203 m= 
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5-139 ”验证 测试 信息 


(5) 配置 RG-WG54P, 启 用 SSID 隐藏 功能 。 

(D STAI 登录 RG-WG54P 管理 页 面 (http: //192. 168. 1. 1. 默 认 密码 为 default) 。 

© 进入 路 径 : 选择 “配置 ">“ 高 级 配置 ”选项 ,选择 “启用 隐藏 SSID” 复 选 框 。 

© 单 击 “ 应 用 ”按钮 ,启用 SSID 隐藏 功能 ,如 图 5-140 所 示 。 

(D 进入 路 径 : 选择 “配置 ">“ 常 规 ” 选 项 ,修改 IEEE 802. 11 参数 。 

ESSID: 修改 基础 结构 模式 无 线 局 域 网 名 称 ( 如 labtest2) 。 

单 击 “ 应 用 ”按钮 ,完成 无 线 接 入 点 设置 ,如 图 5-141 所 示 。 

(6) 验证 测试 。 

(D 查看 RG-WG54P 配置 ,确认 在 “配置 "一 “高 级 配置 ”页面 ,“ 启 用 隐藏 SSID” H 3€ 
HER Aik. 

© 查看 RG-WG54P 配置 ,确认 在 “配置 ”> 常规 "页面 ,ESSID 已 修改 。 
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图 5-141 配置 常规 IEEE 802. 11 参数 


@ STA2 在 客户 端 软件 的 Site Survey 选项 卡 中 不 能 看 到 ESSID 为 labtest2 的 无 线 


局 域 网 ,证 明 SSID 隐藏 功能 生效 ,如 图 5-142 所 示 。 


(D 在 Configuration 选项 卡 中 的 SSID 文本 框 中 输入 labtest2, 单 击 Apply 按钮 , 接 入 


无 线 局 域 网 ,如 图 5-143 所 示 。 
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5-143” 接 入 无 线 局 域 网 


【注意 事项 】 
确认 “启用 隐藏 SSID" 复 选 框 已 勾 选 ,启用 之 后 需 修改 无 线 局 域 网 的 ESSID。 


86 配置 WEP 加 密 (自治 型 AP) 


【实验 名 称 】 
配置 有 线 对 等 保密 技术 (Wired Equivalent Privacy. WEP) 加 密 ( 自 治 型 AP). 


【实验 目的 】 
掌握 WEP 加 密 技术 的 原理 及 配置 方法 。 
mum 206 mm 


Eee 5.6 配置 WEP 加 密 (自治 型 AP) mmm 


【背景 描述 】 

虽然 网 络 管理 员 在 公司 的 无 线 局 域 网 中 设置 了 SSID 隐藏 ,但 是 SSID 很 容易 被 公司 
外 部 人 员 得 到 ,为 了 进一步 保证 无 线 局 域 网 的 安全 ,网 络 管理 员 又 建议 在 AP 上 设置 
WEP 加 密 技 术 , 只 有 得 到 WEP 密码 的 人 才 可 以 接 入 到 无 线 局 域 网 中 ,从 而 进一步 保障 
无 线 局 域 网 的 安全 。 


【需求 分 析 】 

需求 : 充分 保证 无 线 局 域 网 的 安全 性 。 

分 析 : WEP 通过 使 用 对 称 密 钥 加 密 无 线 通信 数据 ,为 无 线 客户 端 和 接 人 点 之 间 的 通 
信 提 供 安全 保证 ,保证 了 公司 无 线 局 域 网 的 安全 性 。 


【实验 拓扑 】 
图 5-144 所 示 网 络 拓扑 ,是 某 企 业 规划 公司 无 线 局 域 网 络 规划 拓扑 ,公司 希望 实现 在 
AP 上 设置 WEP 加 密 技 术 , 只 有 得 到 WEP 密码 的 人 才 STAI 


可 以 接 入 到 无 线 局 域 网 中 ,为 无 线 客户 端 和 接 入 点 之 间 
的 通信 提供 安全 保证 ,从 而 进一步 保障 无 线 局 域 网 的 
安全 。 RG-WGS4P A STA2 


【实验 设备 ] <> « LS 


we 公 ,PCo S 
RG-WG54P 1 台 ;PC 2 fi. 图 5-144 某 企 业 规划 无 线 


【预备 知识 局 域 网 络 拓扑 

。 无线 局 域 网 基本 知识 。 

。 WEP 加 密 技术 。 

WEP 是 802. 11b 标准 里 定义 的 一 个 用 于 无 线 局 域 网 (WLAN) 的 安全 性 协议 。WEP 
被 用 来 提供 和 有 线 LAN 同 级 的 安全 性 。LAN 天 生 比 WLAN 安全 ,因为 LAN 的 物理 结 
构 对 其 有 所 保护 ,部 分 或 全 部 网 络 埋 在 建筑 物 里 面 也 可 以 防止 未 授权 的 访问 。 经 由 无 线 
电波 的 WLAN 没有 同样 的 物理 结构 ,因此 容易 受到 攻击 \ 干 扰 。WEP 的 目标 就 是 通过 
对 无 线 电 波 里 的 数据 加 密 提供 安全 性 ,如 同 端 - 端 发 送 一 样 。WEP 特性 里 使 用 了 RSA 数 
据 安全 性 公司 开发 的 RC4 prog 算法 。 如 果 你 的 无 线 基站 支持 MAC 过 滤 ,推荐 你 连同 
WEP 一 起 使 用 这 个 特性 (MAC 过 滤 比 加 密 安 全 得 多 ) 。 

WEP 是 一 种 在 接 入 点 和 客户 端 之 间 以 RC4 方式 对 分 组 信息 进行 加 密 的 技术 ,密码 
很 容易 被 破解 。WEP 使 用 的 加 密 密 钥 包括 收发 双方 预先 确定 的 40 位 (或 104 位 ) 通 用 密 
钥 , 以 及 发 送 方 为 每 个 分 组 信息 所 确定 的 24 位 被 称 为 NN 密 钥 的 加 密 密 钥 。 但 是 ,为 了 将 
IV 密 钥 告诉 给 通信 对 象 , IN 密 钥 不 经 加 密 就 直接 嵌入 到 分 组 信息 中 被 发 送出 去 。 如 果 通 
过 无 线 窃 听 ,收集 到 包含 特定 T 密 钥 的 分 组 信息 并 对 其 进行 解析 .那么 就 连 秘密 的 通用 密 
钥 都 可 能 被 计算 出 来 。WPA 是 继承 了 WEP 基本 原理 而 又 解决 了 WEP 缺点 的 一 种 新 技 
术 。 由 于 加 强 了 生成 加 密 密 钥 的 算法 ,因此 即便 收集 到 分 组 信息 并 对 其 进行 解析 ,也 几乎 
无 法 计算 出 通用 密 钥 。 
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【实验 原理 】 

WEP 加 密 采 用 静态 密 钥 技术 ,各 客户 机 使 用 相同 的 密 钥 访问 无 线 局 域 网。 

共享 密 钥 长 度 为 40 位 或 104 位 ,加 上 24 位 明文 传输 的 初始 向 量 CInitialized 
Vector) ,提供 64 位 或 128 位 的 加 密 服 务 。 


【实验 步骤 】 

CD 配置 STA1, 与 RG-WG54P 相连 接 。 

(D 用 一 根 直通 线 将 STAT 与 RG-WG54P 供电 模块 的 Network 口 相 连 ,如 图 5-145 
所 示 。 


5-145 配置 STAI 本 地 连接 的 TCP/IP 设置 


配置 STA1 本 地 连接 的 TCP/IP 设置 , 单 击 “ 确 定 ” 按 钮 完成 设置 。 

IP 地 址 : 192.168.1.10 子 网 掩 码 : 255.255.255.0 ”默认 网 关 : 192. 168.1. 1 

© 验证 测试 。 在 STA1 命令 行 下 输入 ipconfig, 查 看 本 地 连接 IP 设置 ,配置 如 下 。 

IP 地 址 : 192.168.1.10 子 网 掩 码 : 255.255.255.0 ”默认 网 关 : 192. 168. 1.1 

(2) 配置 RG-WG54P, 使 用 WEP 加 密 技术 搭建 基础 结构 模式 无 线 局 域 网 。 

(D STAI 登录 RG-WG54P 管理 页 面 (http: //192. 168. 1. 1, 默 认 密 码 为 default) ,如 
5-146 所 示 。 

O 进入 路 径 : 选择 “配置 "一 “常规 ”选项 ,配置 IEEE 802. 11 参数 ,如 图 5-147 
所 示 。 

ESSID: 配置 基础 结构 模式 无 线 局 域 网 名 称 ( 如 weptest1)。 

信道 /频段 : 选择 基础 结构 模式 无 线 局 域 网 工作 信道 (如 CH 11 / 2462MHz) 。 

单 击 “ 应 用 ”按钮 。 
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EE 
ET [e 


Gre -O-) 3B) Pex vem Ol-a 


CETE 


54Mbps Hotspot Access Point 
welcome: 
Ct — — 
pex pe 
am Sey rum 
图 5-146 登录 RG-WG54P 管理 页 面 
54Mbps Hotspot Access Point — 


，。 寅 规 参 数 
Lu REOSF. 


BAAR: Fam 


* IEEE802.11 参 数 


IEEE002.118 ROB i4 RASA. ARURDACE CATR. PD, HAAN ATE 
RE "ESSID" MOIR, 


shit: 
maam: TII 
<7 TSD 
at: m s] 
& TCPIIP =e: CEJ *j 
E] RE/EM: [后 一 一 名 
= 统计 z 
Ed LUPA p 


HA 
& 


图 5-147 配置 IEEE 802. 11 常规 参数 


O 进入 路 径 : 选择 “配置 ”>“ 安 全 ”选项 ,配置 WEP 加 密 . 如 图 5-148 所 示 。 

网 络 鉴证 方式 : 共享 密 钥 。 

数据 加 密 : WEP40( 也 可 以 选择 WEP128) 。 

密 钥 格式 : ASCII. 

密 钥 1: 输入 5 位 ASCH 字符 (如 abcde) , 若 数据 加 密 为 WEP128, 则 输入 13 位 
ASCII 字符 。 

单 击 “应 用 ?按钮 。 


209 


mm 第 5 章 无 线 局 域 网 络 安全 m 


54Mbps Hotspot Access Point 


+ wt 
Gast č [3596 司 ) r wwxummi" ae 
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EUREK: ADSIT LOMHAIR TASC: LECCE RIS 261 ERU NACI: PMB: AO NIE 
11223344358 02b cde; 128fy8 : 01020304050607080310111213&£abcdefQhiklm, 


(BA) smex, m BR) renim 
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图 5-148 配置 WEP 加 密 


(3) 配置 STA2, 加 入 使 用 WEP 加 密 技 术 的 无 线 局 域 网 。 
(D STA2 安装 无 线 网 卡 RG-WG54U 以 及 客户 端 软件 IEEE 802. 11g Wireless LAN 


Utility。 
© 在 Windows 控制 面板 中 ,打开 网 络 连接 页 面 ,如 图 5-149 所 示 。 


itr) c) FEV BAW IAV BHW | i 
Qr -Q-*|Osr x | a 
地 址 @ [D> 控制 面 板 ERPE 


U suns a B 9 ES C] Y» a >| 


Intel(R) Internet È Java ProtectT. Quick QuickTime SoundMAX 
G naasna Dy 3» Security... Lem 
> à 4 
asa a & @ e È be & 
tin 4g! Repo GNU SOQet SEDEM SBEN 
4) indors Update Meds E: Š X ^ wx 
€) SER ) 
É 
EAMES 任务 计划 AmI ANTENA 
P 开始 ] me 


z= 


Enpa Es Pagie | MR 


r3 
its 
p 


图 5-149 打开 网 络 连 接 页 面 


O 右键 单 击 * 无 线 局 域 网 连接 ”图 标 , 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,如 
图 5-150 所 示 。 
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5-150 ”打开 无 线 局 域 网 连接 


QD 在 “常规 ”选项 卡 中 ,双击 “Internet 协议 (TCP/IP)” 选 项 ,如 图 5-151 所 示 。 

© 配置 STA2 无 线 网 卡 的 TCP/IP 设置 , 单 击 “ 确 定 ” 按 钮 完成 设置 ,如 图 5-152 
所 示 。 

IP 地 址 : 192.168.1.20 FRIHET: 255.255.255.0 ”默认 网 关 : 192.168.1.1 


无 线 网 络 连 接 4 EE 


5-151 ”双击 “Internet 协议 (TCP/IP)” 5-152 配置 STA2 无 线 网 卡 的 TCP/IP 设置 


© 运行 IEEE 802. 11g Wireless LAN Utility. 双击 桌面 右 下 角 的 任务 栏 图 标 , 如 
图 5-153 所 示 。 


5-153 ”双击 桌面 右 下 角 任务 栏 中 的 无 线 连 接 图 标 


(D 在 Configuration 选项 卡 中 .配置 加 入 使 用 WEP 加 密 技术 的 无 线 局 域 网 ,如 
图 5-154 所 示 。 

Authentication Mode( 认 证 模式 ) : Shared( 共 享 密 钥 ) 

Encryption Mode( 加 密 模 式 ): WEP 


mum 211 = 


ms 第 5 章 无 线 局 域 网 络 安全 m 


图 5-154 配置 加 入 使 用 WEP 加 密 技 术 的 无 线 局 域 网 


Format for entering key( 输 入 密 钥 格式 ): ASCII characters(ASCII 字符 ) 

Key Index( 密 钥 序 号 ) : 1( 与 RG-WG54P 上 设置 相同 ) 

Network Key( 密 钥 ) : 与 RG-WG54P 上 设置 密 钥 相同 (如 abcde) 

Confirm Network Key( 确 认 密 钥 ) : 5j RG-WG54P 上 设置 密 钥 相同 (如 abcde) 
单 击 “ 确 定 ” 按 钮 ,如 图 5-155 所 示 。 


图 5-155 ”发现 所 搭建 的 使 用 WEP 加 密 技术 的 无 线 局 域 网 


或 在 Site Survey 选项 卡 中 可 发 现 所 搭建 的 加 入 使 用 WEP 加 密 技 术 的 无 线 局 域 网 ， 
单 击 Join 按钮 。 
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(4) 验证 测试 。 
(D fE STA2 的 IEEE 802. 11g Wireless LAN Utility 可 以 看 到 如 下 信息 ,如 图 5-156 
所 示 。 


图 5-156 ”验证 测试 


State: <Infrastructure> - [ESSID]-[ 无 线 接 人 点 的 MAC 地 址 ]。 
Current Channel; 无 线 局 域 网 工作 信道 。 
© STAI 和 STA2 能 够 相互 ping 通 , 如 图 5-157 所 示 。 


图 5-157 能 够 相互 ping 通 


若 输入 错误 密 钥 ,STA2 将 无 法 接 入 无 线 局 域 网 。 


【注意 事项 】 
运行 IEEE 802. 11g Wireless LAN Utility 时 ,配置 密 钥 与 AP 密 钥 要 相同 。 
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5.7 ”使 用 Web 认证 实现 接 入 控制 


【实验 名 称 】 
使 用 Web 认证 实现 接 入 控制 。 


【实验 目的 】 
掌握 无 线 局 域 网 Web 认证 的 概念 及 配置 方法 。 


【背景 描述 】 

小 张 从 学 校 毕业 后 在 某 家 网 络 服务 商 处 工作 ,工作 第 一 天 就 接 到 一 个 无 线 局 域 网 规 
划 的 任务 ,需要 给 某 个 无 线 局 域 网 设计 安全 接 人 策略 。 小 张 考 虑 到 该 项 目 是 一 个 酒店 的 
无 线 接 入 ,用 户 的 网 络 应 用 水 平 普 遍 不 高 ,应 该 采用 一 种 简单 方便 的 无 线 认证 方式 ,于 是 
小 张 选择 了 采用 Web 认证 的 方式 。 用 户 需 要 上 网 时 ,只 需要 打开 浏览 器 访问 任何 网 页 ， 
浏览 器 就 会 弹出 需要 输入 用 户 名 和 密码 的 对 话 框 ,用 户 只 需要 输入 正确 的 账号 和 密码 就 
能 访问 无 线 局 域 网 。 

【需求 分 析 】 

需求 : 如 何在 没有 认证 服务 器 的 情况 下 实现 Web 认证 。 

分 析 : 通过 无 线 交换 机 自 带 的 本 地 服务 器 即 可 实现 Web 认证 功能 。 

【实验 拓扑 】 


图 5-158 所 示 网 络 拓扑 ,是 某 酒店 规划 无 线 局 域 网 络 拓扑 ,由 于 用 户 的 网 络 应 用 水 平 
不 高 ,酒店 希望 采用 一 种 简单 方便 的 Web 无 线 认 证 方 


t. 用户 需要 上 网 时 ,只 需要 打开 浏览 器 访问 任何 网 vo | 
页 ,浏览 器 就 会 弹出 需要 输入 用 户 名 和 密码 的 对 话 框 ， STAI 
用 户 只 需要 输入 正确 的 账号 和 密码 ,就 能 访问 无 线 局 
域 网 。 E MP-71/MP-372 
【实验 设备 】 < 
PC 2 4; MP-71/MP-372 1 &; MX-8/MXR-2 STA2 
1a. 图 5-158 某 酒店 规划 无 线 
局 域 网 络 拓扑 
【预备 知识 


* 无 线 局 域 网 基本 知识 。 

。 智能 无 线 产 品 的 基本 原理 。 

。 RingMaster 的 基本 操作 能 力 。 
* 无 线 局 域 网 Web 认证 。 


【实验 原理 】 
当 浏览 器 试图 访问 任何 网 页 时 ,浏览 器 会 发 送 一 个 DNS 解析 请 求 ,无 线 交 换 机 截取 这 
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个 DNS 请 求 , 并 把 这 个 请 求 转发 到 DNS 服务 器 上 。 假 如 DNS 就 是 无 线 交 换 机 本 身 , 那 么 
无 线 交 换 机 会 响应 这 个 DNS 请 求 给 客户 端 , 因 此 ,客户 端 获 取 了 到 该 网 站 的 真实 IP 地 址 。 

当 客 户 端 向 该 地 址 发 起 一 个 HTTP 请 求 时 ,无 线 交 换 机 截获 这 个 请 求 并 把 客户 端 重 
定向 到 http: //Webportal. company. com/aaa/wba login. html? wba_redirect= E ,用户 
输入 用 户 名 和 密码 ,如 果 验 证 成 功 , 则 允许 访问 先前 试图 访问 的 网 页 。 


【实验 步骤 】 
(1) 配置 无 线 交 换 机 的 基本 参数 。 


(D 无 线 交 换 机 的 默认 IP 地 址 是 192. 168. 100. 1/24 ,因此 将 STAI 的 IP 地 址 配置 为 
192. 168. 100. 2/24, 并 打开 浏览 器 登录 到 https://192. 168. 100. 1, 弹 出 图 5-159 所 示 界 


面 , 单 击 “ 是 ”按钮 。 


系统 的 默认 管理 用 户 名 是 admin ,密码 为 空 ,如 图 5-160 所 示 。 


8 eno ee 但 该 站 点 
NES o d 


BREEAM AMAR. 
© 
心安 全 证 书 上 的 名 称 无 效 ， 或 者 与 站 点 名 称 不 匹配 . 


是 否 继续 ? 


Can Ge) Gs) 
图 5-159 ”安全 警报 


连接 到 192.168.100.1 


A 


System Administrator 


APSO: — [Bos 加 


suo: [ ] 
口 记 住 我 的 密码 qo 


ee n) 


图 5-160 登录 无 线 交 换 机 


@ 输入 用 户 名 和 密码 后 就 进入 无 线 交 换 机 的 Web 配置 页 面 , 单 击 Start 按钮 ,进入 


快速 配置 指南 ,如 图 5-161 所 示 。 


WIZARDS 
L--— on 
SYSTEM Quick Start wizard will replace the current configuration 
General with a new one. 
IP Services 
Ports 
VLANs d 
Security 
WIRELESS 
Access Points 
Services 
AUTHENTICATION 
Users 
Devices EzI Li 
RADIUS 
v 


图 5-161. 进入 无 线 交换 机 的 Web 配置 页 面 
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General configuring and managing this switch in the future. 
IP Services 


Pons E (rotor Qd 
system? 
vas EN 


Security 
WIRELESS. 
Access Ponts 
Sorvices 
AUTHENTICATION 
Users 
Devices 
RADIUS 


= Es] 
图 5-162 选择 管理 无 线 交 换 机 的 工具 


CD 配置 无 线 交 换 机 的 TP 地 址 、 子 网 掩 码 以 及 默认 网 关 , 如 图 5-163 所 示 。 


"i" Type View Help ED 
SYSTEM Select the management platform you plan to use for | 
国 


me Ce 
E) co"ro io View Help 加 
SYSTEM Spacity tha following parsiiaters Eo coongct Hie 
General switch to the network. 
1P Services ——— 
Ports ee 02. 168. 100. 264 
VLANs - 
security rene Sar] 
WIRELESS Bach 192. 168. 100. 3] 
Access Points 
Services 
AUTHENTICATION 
Users 
Devices 
RADIUS 


iid [cd 


图 5-163 配置 无 线 交换 机 的 IP 信息 
O 设置 系统 的 管理 密码 ,如 图 5-164 所 示 。 


E 


L n Bd pan 


SYSTEM Rey Re Rane Oe GRECE 
General to the system. 
18 Services n 
Ports Password =e 7 
Lond Re-enter password n 
security 

WIRELESS 
Access Points 
Sorvicos 

AUTHENTICATION 
Users 
Devices 


RADIUS 


E EY] 国 
5-164 设置 系统 的 管理 密码 


© 设置 系统 的 时 间 以 及 时 区 ,如 图 5-165 所 示 。 


Quickstat —— Date and Time ViewH 


SYSTEM 
General 


IP Services 
Ports 
VLANs 
Security 
WIRELESS 
Access Points 
Services 
AUTHENTICATION 
Users 
Devices 
RADIUS 


Date 8/08/2008 
Timezone | (GMT+8:00) Beijing, Chongqing, Hong Kong 


Set the time and date on the switch. 


t 


E 


图 5-165 设置 系统 的 时 间 以 及 时 区 


D 确认 并 完成 无 线 交换 机 的 基本 配置 ,如 图 5-166 所 示 。 


WIZARDS 


SYSTEM 
General 
IP Services 
Ports 
VLANs 
Security 
WIRELESS 
Access Points 
Services 
AUTHENTICATION 
Users 
Devices 
RADIUS 


Configuration Summary View Help RA 


Review the configuration settings. 


IP address 192.168.100.254/24 
Default router 192.168.100.1 
Admin password Modified 


After you click Finish, web management will be 
disabled. 


sa El 


图 5-166 确认 并 完成 全 部 配置 


(2) 通过 RingMaster 网 管 软件 进行 无 线 交换 机 的 高 级 配置 。 
(D 运行 RingMaster, 地 址 为 127. 0. 0. 1 ,端口 为 443, 用 户 名 和 密码 默认 为 空 , 如 


图 5-167 所 示 。 


(a 


| 


i 


© 4 Configuration, ,进入 配置 界面 .并 添加 被 管理 的 无 线 交 换 机 ,如 图 5-168 


所 示 。 


217 


mmm 第 5 章 无 线 局 域 网 络 安全 m 


ews (EER 
Port asi 


RingMaster nera 


Password 


[Z Renerker us name and parsword 


HP RAES 
RURE 


rr 
TRAPEZE 


smart mobile. 


图 5-167 运行 RingMaster 网 管 软件 


fer 7.0: Plan (shdd) 
Hile Services Ios Kelp 


«e» 9 8 ys e *9 5» 


Policies BF Planning [s Verification — Devices Monitor Security 


© Configuration — shad 0o Tusks 


Organizer 
g D us Party APs 一 Crete 


Network Plan 
Meteork Flan Tame shdd 


Country Code China (CI) 
2,4 Gi Channel Set 1, 6, 11 
5 Ghz Channel Set 149, 155, 157, 161, 185 


Network Domain 
Matvork Donsin Wane Mot Assigned 
Network Domain Seeds Mot Assigned 


eteork Domain Menbers Jot Assigned hoes 


QD Convert Auto AP 
© Renove Auto AP 
© Betwork Domain 


tafig 0 iran: 0 enia lani mque hunk aen: a 下 有 D] F 


图 5-168 配置 Configuration 界面 


@ 输入 被 管理 的 无 线 交换 机 的 IP 地 址 , Enable 密码 ,如 图 5-169 一 图 5-171 
所 示 。 
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Tr RingMaster 7.0: Plan (shdd) 


Upload NX 


Enter the MI’ s IP address and enable password and click Next to retrieve its configuration 


Trees on 155 100 54] Gee 
Enable Password _ 


[Updated [Enable Password] Value [eseesres] 


Config: O Errors: O erp Level Chmget: ama Patek Changes! mecs ores Ao | 


图 5-169 输入 被 管理 无 线 交换 机 的 IP 信息 (1) 


x.» RingMaster 7.0: Plan (shdd) 


us Upload MX 
Uploading NK... 


Please wait for the MI’ s configuration to be retrieved and click Next to save the changer 


‘Querying Boot Status and Serial Number: 192.168.100.254:8889 
Device Model= MXR-2 

Booted Version = 6.07.20 

Next Version = 6.0.7.2.0 

Image Location = boot0:MX060702.002 

Configuration Location - configuration 

Serial Number = 0721600029. 


Uploading device: 192.168.100.254:8889. 
Waiting for response from device: 192.168.100.254:8889 
Received network data for: 192 168 100 254.3889 
Processing network data for device: 192 169 100 254.8889 
Done processing uploaded data. 


Successfully uploaded device MXR-2-560CB8. 


[Click Next to continue. 


Config: Dres O Worningr Led Changes: ma eser Cane nne Mere NO © IET o) 


图 5-170 输入 被 管理 无 线 交 换 机 的 IP 信息 (2) 


D 完成 添加 后 ,进入 无 线 交换 机 的 操作 界面 ,如 图 5-172 所 示 。 
(3) 配置 无 线 AP。 
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Tz RingMaster 7.0: Plan (shdd) 


ad Complete 


Click Finish to complete the wizard 


Adding device to the network plan. Please wait. 
‘Successfully added device MXR-2-560CB8 to the network plan. 


Confie: 1 Errar: 2 Warnings Lee Changes! mane eterk Changos: nene Mu MNA © Do) F 
图 5-171 输入 被 管理 无 线 交换 机 的 IP 信息 (3) 
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图 5-172 ”完成 配置 


(D 选择 Wireless>Access Points 选项 ,添加 AP. MWA 5-173 所 示 。 
© 为 添加 的 AP 进行 命名 ,并 选择 连接 方式 ,默认 使 用 Distributed 模式 ,如 图 5-174 
所 示 。 
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图 5-173 配置 无 线 AP(1) 
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图 5-174 配置 无 线 AP(2) 


C 将 需要 添加 AP 机 身后 面 的 SN 号 输入 对 话 框 , 用 于 AP 与 无 线 交 换 机 注册 过 程 ， 
如 图 5-175 所 示 o 
选择 添加 AP 的 具体 型 号 和 传输 协议 ,完成 AP 添加 ,如 图 5-176 所 示 。 
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图 5-175 添加 AP 机 身后 的 SN 号 
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图 5-176 添加 AP 的 具体 型 号 和 传输 协议 


(4) 配置 无 线 交换 机 的 DHCP 服务 器 。 
(D 选择 Systemv> VLANs 选项 ,然后 选择 default vlan, 进 入 属性 配置 ,如 图 5-177 
所 示 。 
© 进入 Properties DHCP Server 选项 ,激活 DHCP 服务 器 .设置 地 址 池 和 DNS, f 
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图 5-177 配置 无 线 交换 机 的 DHCP 服务 器 


存 , 如 图 5-178 所 示 。 
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图 5-178 激活 无 线 交 换 机 的 DHCP 服务 器 


© 选择 System Port 选项 ,将 无 线 交 换 机 的 端口 POE 打开 ,并 保存 ,如 图 5-179 
所 示 。 
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图 5-179 打开 无 线 交换 机 端口 POE 
(5) 配置 无 线 交 换 机 的 Web 认证 。 
(D 选择 Wireless Wireless Services 选项 ,选择 添加 Web-Portal Service Profile, 用 
于 Web 认证 ,如 图 5-180 和 图 5-181 所 示 。 
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5-180 配置 无 线 交 换 机 的 Web 认证 (1) 
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图 5-181 配置 无 线 交 换 机 的 Web i üE (2) 


@ 输入 使 用 Web 认证 服务 的 SSID 名 ,以 及 是 否 使 用 SSID 加 密 , 如 图 5-182 所 示 。 


Service Profile Identifier 


Enter a unique name te sdentify the Seryseu Profile und spy the SSID You ean eles configure whether wireless trafis should be encrypted 


[nter the SSID sE the Service Profile 


| Ee 
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图 5-182 配置 Web 认证 服务 SSID 


© 选中 该 SSID 对 应 的 用 户 VLAN ,选中 default vlan 即 VLAN1 ,如 图 5-183 所 示 。 
CD 设置 Web-Portal 的 ACL ,使 用 默认 值 , 如 图 5-184 所 示 。 
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图 5-183 


配置 Web 认证 服务 SSID 用 户 VLAN 
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图 5-184 设置 Web-Portal 的 ACL 


© 选中 Web 认证 服务 的 认证 服务 器 ,由 于 实验 采用 本 地 数据 库 ,因此 将 local 设置 
为 Current RADIUS Server Groups, 如 图 5-185 和 图 5-186 所 示 。 
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图 5-185 配置 Web 认证 服务 的 认证 服务 器 (1) 


75 RineMaster 1.0 Plan (test) 


Select the AAA server groupa to use for aathentication Select LOCAL to use the Local database 


Available MABIUS Server Grows Current TIS Server Grows 


图 5-186 配置 Web 认证 服务 的 认证 服务 器 (2) 


© 完成 Web 认证 服务 的 配置 ,如 图 5-187 所 示 。 


CD 回 到 Wireless 主页 面 ,确认 Web 认证 服务 已 经 建立 成 功 ,如 图 5-188 所 示 。 
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图 5-187. 完成 Web 认证 服务 的 配置 
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图 5-188 确认 Web 认证 服务 


(6) 应 用 配置 ,配置 生效 ,如 图 5-189 和 图 5-190 所 示 。 
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图 5-190 


(7) 测试 Web 认证 。 
CD 打开 无 线 网 卡 ,搜寻 student-web. BEA i SSID, 如 图 5-191 所 示 。 
© 获取 地 址 后 ,打开 浏览 器 访问 任何 网 页 , 即 弹出 以 下 页 面 .如 图 5-192 所 示 。 
© 输入 正确 的 用 户 名 和 密码 后 ,通过 认证 并 可 访问 无 线 局 域 网 的 资源 。 


应 用 配置 (2) 
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图 5-191 测试 Web 认证 
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图 5-192 通过 认证 访问 无 线 局 域 网 


(8) 测试 验证 。 
用 STA2 ping STA1, 可 以 ping i. 


sg ”使 用 802. 1x 增强 接 入 安全 性 


【实验 名 称 】 

使 用 802. 1x 增强 接 入 安全 性 。 

【实验 目的 】 

掌握 无 线 局 域 网 中 802. 1x 认证 的 概念 及 配置 方法 。 

【背景 描述 】 

小 张 从 学 校 毕 业 后 在 某 家 网 络 服务 商 处 工作 ,工作 第 一 天 就 接 到 一 个 无 线 局 域 网 规 
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划 的 任务 ,需要 给 某 个 无 线 局 域 网 设计 安全 接 和 策略。 小 张 考虑 到 该 项 目 是 某 外 企 TT 
公司 的 无 线 接 人 ,用 户 对 网 络 的 安全 要 求 很 高 ,并 且 客户 的 计算 机 操作 能 力也 很 强 ,于 是 
小 张 选择 了 采用 相对 安全 的 “和 人 网 即 认证 ”的 802. 1x 认证 方式 。 


【需求 分 析 】 

需求 : 如 何在 没有 认证 服务 器 的 情况 下 实现 802. 1x 认证 。 

分 析 : 通过 无 线 交换 机 自 带 的 本 地 服务 器 即 可 实现 802. 1x 认证 功能 。 
【实验 拓扑 】 


图 5-193 所 示 网 络 拓扑 ,是 某 家 网 络 服务 商 无 线 局 域 网 络 拓扑 ,由 于 用 户 对 网 络 的 安 
全 要 求 很 高 ,并 且 客 户 的 计算 机 操作 能 力也 很 强 ,希望 


采用 相对 安全 “入 网 即 认证 ”的 802. 1x 认证 方式 ,提高 mae: a 
网 络 安全 接 入 。 STAI 
【实验 设备 】 
PC 2 台 ;MP-71/MP-372 1 台 ;MX-8/MXR-2 1 fà. E Q raran 
【预备 知识 STAs 
* 无 线 局 域 网 基本 知识 。 


图 5-193 某 家 网 络 服务 商 无 
。 智能 无 线 产 品 的 基本 原理 。 线 局 域 网 络 拓扑 


。 RingMaster 的 基本 操作 能 力 。 

* 802. 1x 认证 。 

802. 1x 协议 起 源 于 802. 11 协议 ,后 者 是 IEEE 的 无 线 局 域 网 协议 , 制订 802. 1x 协 
议 的 初 囊 是 为 了 解决 无 线 局 域 网 用 户 的 接 入 认证 问题 。IEEE 802 LAN 协议 定义 的 局 域 
网 并 不 提供 接 入 认证 ,只 要 用 户 能 接 入 局 域 网 控制 设备 (如 LANS witch) ,就 可 以 访问 局 
域 网 中 的 设备 或 资源 。 这 在 早期 企业 网 有 线 LAN 应 用 环境 下 并 不 存在 明显 的 安全 隐 
患 。 但 是 随 着 移动 办 公 及 驻地 网 运营 等 应 用 的 大 规模 发 展 ,服务 提供 者 需要 对 用 户 的 接 
入 进行 控制 和 配置 。 尤 其 是 WLAN 的 应 用 和 LAN 接 人 在 电信 网 上 大 规模 开展 ,有 必要 
对 端口 加 以 控制 以 实现 用 户 级 的 接 入 控制 ,802. 1x 就 是 IEEE 为 了 解决 基于 端口 的 接 入 
控制 (Port-Based Network Access Control) 而 定义 的 一 个 标准 。 

802. 1x 协议 是 基于 客户 /服务 器 的 访问 控制 和 认证 协议 , 它 可 以 限制 未 经 授权 的 用 
户 / 设 备 通 过 接 入 端口 访问 LAN/WLAN。 在 获得 交换 机 或 LAN 提供 的 各 种 业务 之 前 ， 
802. 1x 对 连接 到 交换 机 端口 上 的 客户 /服务 器 进行 认证 。 在 认证 通过 之 前 ,802. 1x H ft 
VF EAPOL( 基 于 局 域 网 的 扩展 认证 协议 ) 数 据 通 过 设备 连接 的 交换 机 端口 ;认证 通过 以 
后 ,正常 的 数据 可 以 顺利 地 通过 以 太 网 端口 。 

IEEE 802. 1x 是 根据 用 户 ID 或 设备 ,对 网 络 客户 端 ( 或 端口 ) 进 行 鉴 权 的 标准 。 该 流 
程 被 称 为 “端口 级 别 的 鉴 权 ”。 它 采用 RADIUS( 远 程 认 证 拨号 用 户 服务 ) 方 法 ,并 将 其 划 
分 为 三 个 不 同 小 组 :请 求 方 、 认 证 方 和 授权 服务 器 。 整 个 802. 1x 的 认证 过 程 可 以 描述 
如 下 。 
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CD 当 用 户 有 上 网 需求 时 ,打开 802. 1x 客户 端 程序 ,输入 已 经 申请 、 登 记过 的 用 户 名 
和 口令 ,发 起 连接 请 求 。 此 时 ,客户 端 程序 将 发 出 请 求 认证 的 报 文 给 交换 机 ,开始 启动 一 
次 认证 过 程 。 

(2) 交换 机 收 到 请 求 认 证 的 数据 帧 后 ,将 发 出 一 个 请 求 帧 要 求 用 户 的 客户 端 程序 将 
输入 的 用 户 名 送 上 来 。 

(3) 客户 端 程序 响应 交换 机 发 出 的 请 求 ,将 用 户 名 信息 通过 数据 帧 送 给 交换 机 。 交 
换 机 将 客户 端 送 上 来 的 数据 帧 经 过 封包 处 理 后 送 给 认证 服务 器 进行 处 理 。 

(4) 认证 服务 器 收 到 交换 机 转发 上 来 的 用 户 名 信息 后 ,将 该 信息 与 数据 库 中 的 用 户 
名 表 相 比 对 ,找到 该 用 户 名 对 应 的 口令 信息 ,用 随机 生成 的 一 个 加 密 字 对 它 进行 加 密 处 
理 , 同 时 也 将 此 加 密 字 传送 给 交换 机 ,由 交换 机 传 给 客户 端 程序 。 

(5) 客户 端 程序 收 到 由 交换 机 传 来 的 加 密 字 后 ,用 该 加 密 字 对 口令 部 分 进行 加 密 处 
理 (此 种 加 密 算法 通常 是 不 可 逆 的 ) ,并 通过 交换 机 传 给 认证 服务 器 。 

(6) 认证 服务 器 将 送 上 来 的 加 密 后 的 口令 信息 和 其 自己 经 过 加 密 运 算 后 的 口令 信息 
进行 对 比 , 如 果 相 同 , 则 认为 该 用 户 为 合法 用 户 , 反 馈 认 证 通过 的 消息 ,并 向 交换 机 发 出 打 
开端 口 的 指令 ,允许 用 户 的 业务 流通 过 端口 访问 网 络 。 否 则 ,反馈 认证 失败 的 消息 ,并 保 
持 交 换 机 端口 的 关闭 状态 ,只 允许 认证 信息 数据 通过 而 不 允许 业务 数据 通过 。 

基于 以 太 网 端口 认证 的 802. 1x 协议 有 如 下 特点 : IEEE 802. 1x 协议 为 二 层 协议 ,不 
需要 到 达 三 层 ,对 设备 的 整体 性 能 要 求 不 高 ,可 以 有 效 降 低 建 网 成 本 ;借用 了 在 ras 系统 
中 常用 的 EAP( 扩 展 认证 协议 ) ,可 以 提供 良好 的 扩展 性 和 适应 性 ,实现 对 传统 PPP 认证 
架构 的 兼容 ;802. 1x 的 认证 体系 结构 中 采用 了 * 可 控 端 口 ”? 和 * 不 可 控 端 口 " 的 逻辑 功能 ， 
从 而 可 以 实现 业务 与 认证 的 分 离 . 由 RADIUS 和 交换 机 利用 不 可 控 的 逻辑 端口 共同 完成 
对 用 户 的 认证 与 控制 ,业务 报 文 直接 承载 在 正常 的 二 层 报 文 上 通过 可 控 端 口 进行 交换 , 通 
过 认证 之 后 的 数据 包 是 无 须 封 装 的 纯 数据 包 ; 可 以 使 用 现 有 的 后 台 认 证 系统 降低 部 署 的 
成 本 ,并 有 丰富 的 业务 支持 ;可 以 映射 不 同 的 用 户 认证 等 级 到 不 同 的 VLAN; 可 以 使 交换 
端口 和 无 线 LAN 具有 安全 的 认证 接 入 功能 。 

其 具有 的 优势 可 以 总 结 为 以 下 几 点 。 

CD 简洁 高 效 。 纯 以 太 网 技术 内 核 保持 了 IP 网 络 无 连接 特性 ,不 需要 进行 协议 间 的 
多 层 封装 ,去 除了 不 必要 的 开销 和 宛 余 ;消除 网 络 认证 计 费 瓶颈 和 单 点 故障 ,易于 支持 多 
业务 和 新 兴 流 媒体 业务 。 

(2) 容易 实现 。 可 在 普通 L3、L2、IPDSLAM 上 实现 ,网 络 综合 造价 成 本 低 ,保留 了 
传统 AAA 认证 的 网 络 架构 ,可 以 利用 现 有 的 RADIUS 设备 。 

(3) 安全 可 靠 。 在 二 层 网 络 上 实现 用 户 认 证 ,结合 MAC, iO IK, VLAN 和 密码 
等 ; 绑 定 技术 具有 很 高 的 安全 性 ,在 无 线 局 域 网 网 络 环境 中 802. 1x 结合 EAP-TLS， 
EAP-TTLS, 可 以 实现 对 WEP 证 书 密 钥 的 动态 分 配 ,克服 无 线 局 域 网 接 入 中 的 安全 
漏洞 。 

COD 行业 标准 。IEEE 标准 和 以 太 网 标准 同 源 ,可 以 实现 和 以 太 网 技术 无 颖 融合 , 几 
平 所 有 主流 数据 设备 厂商 在 其 设备 ,包括 路 由 器 、 交 换 机 和 无 线 AP 上 都 提供 对 该 协议 的 
支持 。 在 客户 端 方 面 ,微软 Windows XP 操作 系统 内 置 支持 ,Linux 也 提供 了 对 该 协议 的 
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支持 。 
(5) 应 用 灵活 。 可 以 灵活 控制 认证 的 颗粒 度 , 用 于 对 单个 用 户 连接 、 用 户 ID 或 是 对 
接 人 设备 进行 认证 ,认证 的 层次 可 以 进行 灵活 的 组 合 ,满足 特定 接 和 技术 或 是 业务 的 
(6) 易于 运营 。 控 制 流 和 业务 流 完 全 分 离 ,易于 实现 跨 平台 多 业务 运营 ,少量 改造 传 
统 包月 制 等 单一 收费 制 网 络 即 可 升级 成 运营 级 网 络 , 而 且 网 络 的 运营 成 本 也 有 望 降低 。 


【实验 原理 】 

802. 1x 是 基于 端口 的 认证 策略 ,对 于 无 线 局 域 网 来 说 “端口 "就 是 一 条 信道 。802. 1x 
的 认证 中 ,端口 的 状态 决定 了 客户 端 是 否 能 接 入 网 络 。 

在 启用 802. 1x 认证 时 端口 初始 状态 一 般 为 非 授 权 (unauthorized) ,在 该 状态 下 , 除 
802. 1x 报 文 和 广播 报 文 外 ,不 允许 任何 业务 输入 、 输 出 通信 。 当 客户 通过 认证 后 ,端口 状 
态 切 换 到 授权 状态 (authorized) ,允许 客户 端 通过 端口 进行 正常 通信 。 


【实验 步骤 】 

(1) 配置 无 线 交 换 机 的 基本 参数 。 

(D 无 线 交 换 机 的 默认 TP 地 址 是 192. 168. 100.1/24, 因 此 将 STAT 的 TP 地 址 配置 为 
192.168. 100. 2/24 ,并 打开 浏览 器 登录 到 https: //192. 168. 100. 1 ,弹出 图 5-194 所 示 界 
面 , 单 击 “ 是 ”按钮 。 

系统 的 默认 管理 用 户 名 是 admin ,密码 为 空 , 如 图 5-195 所 示 。 


连接 到 192.168.100.1 
e 


g PAP IAS UR TSRREARERER. 但 该 站 点 A 
O EXABaESASREREUAM. "ET OER 


该 安全 证 书 的 日 期 有 效 。 APAW: [© snin 


a sB: 


人 安全 证 书 上 的 名 称 无 效 ， 或 者 与 站 点 名 称 不 罗 配 。 


记 住 我 的 密码 W 


是 否 继续 ? 


Ca Ca ee) CEJ 


图 5-194 安全 警报 图 5-195 登录 无 线 交 换 机 


@ 输入 用 户 名 和 密码 后 就 进入 了 无 线 交换 机 的 Web 配置 页 面 , 单 击 Start 按钮 , 进 
入 快速 配置 指南 ,如 图 5-196 所 示 。 

O 选择 管理 无 线 交换 机 的 工具 RingMaster, 如 图 5-197 所 示 。 

D 配置 无 线 交 换 机 的 IP 地 址 、 子 网 掩 码 以 及 默认 网 关 , 如 图 5-198 所 示 。 

C» 设置 系统 的 管理 密码 ,如 图 5-199 所 示 。 

© 设置 系统 的 时 间 以 及 时 区 ,如 图 5-200 所 示 。 

D 确认 并 完成 无 线 交换 机 的 基本 配置 ,如 图 5-201 所 示 。 
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General 

IP Services 
Ports 
VLANs 
Security 


WIRELESS 


Access Points 


Services 


AUTHENTICATION 


Users 
Devices 
RADIUS 


Quick Start wizard will replace the current configuration 
with a new one. 


E 


图 5-196 进入 了 无 线 交换 机 的 Web 配置 页 面 


Configuration Type View Help CQ 
Select the management platform you plan to use for 
General configuring and managing this switch in the future, 
IP Services 
Ports How will you manage this 
system? 
VLANs 
Security — 
WIRELESS 
Access Points 
Services 
AUTHENTICATION 
Users 
Devices 
RADIUS 


General 

IP Services 
Ports 
VLANs 


ecurity 


WIRELESS 
Access points 
Services 


Devices 
RADIUS 


图 5-197 选择 管理 无 线 交换 机 工具 


IP Configuration View Help E 


Specify the following parameters to connect this 
switch to the network. 


5 92. 168. 100. 254 ] 


a 
图 5-198 配置 无 线 交 换 机 的 IP 
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SYSTEM 
General 


IP Services 
Ports 
VLANs 
Security 
WIRELESS 
‘Access Points 
Services 


AUTHENTICATION 


Users 
Devices 
RADIUS 


Specify the password for future management access 
to the system. 


Ed 
5-199 设置 系统 的 管理 密码 


Quickstat — — Password. View Help £A 


WIZARDS 
Co "" View H, 
SYSTEM Set the time and date on the switch. 
General 
1P Services Date — {s708/2008 — ] 
Ports 
Mim imezone [(GNT*8:00) Beijing, Chongqi K 
pae Tir 200) Beijing, qing, Hong Kong 
WIRELESS t 
Access Points 
Services 
AUTHENTICATION 
Users 
Devices 
uns 
| ss Es] E 
— LL (à 
图 5-200 设置 系统 的 时 间 以 及 时 区 
configuration summary View Help ED d 
SYSTEM Review the configuration settings. 
General 
1P Services 1P address 192.168.100.254/24 
Ports [ ou 2. 01 ii 
VLANs Admin password Modified 
Security 
-—- al 
WIRELESS After you click Finish, web management will be 
Access Points disabled. 
Services 
AUTHENTICATION 
Users 
Devices 
RADIUS 
a =] 到 
图 5-201 确认 并 完成 无 线 交 换 机 的 基本 配置 
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(2) 通过 RingMaster 网 管 软 件 进行 无 线 交 换 机 的 高 级 配置 。 
(D 运行 RingMaster, 地 址 为 127. 0. 0. 1 ,端口 为 443, 用 户 名 和 密码 默认 为 空 , 如 
图 5-202 所 示 。 


$3 RingMaster 7.0. 


RingMaster : 


mo qe 
用 户 名 和 密码 


图 5-202 运行 RingMaster 网 管 软件 


© 选择 Configuration, 进 入 配置 界面 ,并 添加 被 管理 的 无 线 交 换 机 ,如 图 5-203 
所 示 。 


‘uy RingMaster 7.0; Plan (shda) 


Eile Services Iols Help 


y 上 
os o BE. ^ * X 


Organizer Yoo Configuration — chia EE 
| mug a) 
Network Plan © Create Mobility De 
Tetverk Plan Mane sha O create Mobility n 
Country Code [China CI) O creste niri Party 


四 -起 Third Party APs 


2.4 GHz Channel Set 1, 6, 11) 
5 Gz Channel Set 149, 153, 157, 161, 165 


Betwerk Dessin 


Metwork Domain Hame Tot Assi gred. 


Metwork Donain Seeds Not 


Tetwork Domain Members Not Assigned | © Upload mx 
© convert Auto AP 


© Renove Auto AP 
Oetwork Donsin 


Config: O rres; O Verine lei Cmq meae eek om Marne MM © IR > J] 


图 5-203 ”添加 被 管理 的 无 线 交换 机 
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O 输入 被 管理 的 无 线 交 换 机 的 IP 地 址 ,Enable 密码 ,如 图 5-204 一 图 5-206 所 示 。 


Tr RingMaster 7.0: Plan (shdd) 


v» Upload MX 
Upload NX 


Enter the MI's IP address and enable password and click Next to retrieve its configuration 


| IP Address foz 165.100.254] nm 
Enable Password [oe] << 


Updated [Enable Password] Value [exsesses] 


Config: O Errors; O Warnings Local Changes: none 


图 5-204 输入 被 管理 的 无 线 交换 机 的 IPC) 


Tr RingMaster 7.0: Plan (shdd) 


v» Upload MX 


Uploading NX... 


Please wait for the MI’ s configuration to be retrieved and click Next to save the changes 


‘Querying Boot Status and Serial Number: 192.168.100.254:8889 
Device Model = MXR-2 

Booted Version - 6.07.20 

Next Version = 6.0.7.2.0 

Image Location = boot0:MX060702.002 

Configuration Location = configuration. 

Serial Number - 0721600029 


Uploading device: 192.168.100.254:8889. 
Waiting for response from device: 192.168.100.254:8889 
Received network data for. 192.168.100.254:8889 
Processing network data for device: 192 168.100.254:8889 
Done processing uploaded data. 


Successfully uploaded device MXR-2-560CB8. 


[Click Next to continue. 


Config: O Errors; O Warnings Locul Changes: none Network Changes: ame Sores AMIN © [ERI 0 J 
图 5-205 输入 被 管理 的 无 线 交 换 机 的 IPO) 


CD. 完成 添加 后 ,进入 无 线 交换 机 的 操作 界面 ,如 图 5-207 所 示 。 
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3:3 RingMaster 7.0: Plan (shdd) 


‘Adding device to the network plan. Please wait. 
Successfully added device MXR-2-5600B8 to the network plan. 
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图 5-207 登录 无 线 交 换 机 的 操作 界面 


(3) 配置 无 线 AP. 

(D 选择 Wireless 一 Access Points 选项 ,添加 AP. WA 5-208 所 示 。 

© 为 添加 的 AP 进行 命名 ,并 选择 连接 方式 ,默认 使 用 Distributed 模式 ,如 图 5-209 
所 示 。 
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图 5-208 配置 无 线 APC) 


Th Roehenter 7,0 Plan (sl) 
Me femen Teale ely 


和 > q 


Piris 


,aise ame, end evarantien fer the AP. Comecting Ùe AP to a port 
omens the part fe all FEAE 


| ean 选择 分 布 式 连接 


Dee Dorem] 


ethics Perey t 


Config’ Pere Denia icd Changes” ana! 


Ricci cep wee Hom ë To) 


图 5-209 配置 无 线 AP(2) 


C 将 需要 添加 的 AP 机 身后 面 的 SN 号 输入 对 话 框 ,用 于 AP 与 无 线 交 换 机 的 注册 
过 程 , 如 图 5-210 所 示 。 


© 选择 添加 AP 的 具体 型 号 和 传输 协议 ,完成 AP 添加 ,如 图 5-211 所 示 。 
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图 5-211 添加 AP 型 号 和 传输 协议 


(4) 配置 无 线 交 换 机 的 DHCP 服务 器 。 
(D 选择 System—> VLANs 选项 ,然后 选择 default vlan, 进 入 属性 配置 ,如 图 5-212 
所 示 。 
© 进入 Properties DHCP Server 选项 ,激活 DHCP 服务 器 ,设置 地 址 池 和 DNS, 保 
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图 5-212 配置 无 线 交换 机 的 DHCP 服务 器 


存 ,如 图 5-213 所 示 。 
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图 5-213 激活 无 线 交 换 机 的 DHCP 服务 器 


© 选择 System 一 Ports 选项 ,将 无 线 交 换 机 的 端口 POE 打开 ,并 保存 ,如 图 5-214 


Bim. 
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图 5-214 打开 无 线 交换 机 的 端口 POE 


(5) 配置 无 线 交 换 机 的 Web 认证 。 
(D 选择 Wireless Wireless Services 选项 ,选择 添加 802. 1x Service Profile, 用 于 
802. 1x 认证 ,如 图 5-215 和 图 5-216 所 示 。 
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5-215 配置 无 线 交换 机 的 Web 认证 (1) 
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Secure 802. 1X Wireless Service 
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图 5-216 配置 无 线 交换 机 的 Web 认证 (2) 


© 输入 使 用 802. 1x 认证 服务 的 SSID 名 ,如 图 5-217 所 示 。 
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B] 5-217 输入 802. 1x 认证 服务 SSID 


© 选择 加 密 方式 ,如 图 5-218 所 示 。 
@ 选择 加 密 算法 ,如 图 5-219 所 示 。 
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图 5-218 选择 加 密 方式 
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图 5-219 选择 加 密 算法 


© 选中 该 SSID 对 应 的 用 户 VLAN, 选 中 default vlan, Bl VLAN1, 如 图 5-220 


所 示 。 
© 选择 802. 1x 认证 服务 的 认证 服务 器 ,由 于 实验 采用 本 地 数据 库 , 因 此 将 local 设 
置 为 Current RADIUS Server Groups ,并 选择 EAP 类 型 ,如 图 5-221 所 示 。 
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图 5-220 选中 SSID 对 应 用 户 VLAN 
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图 5-221 选择 802. 1x 认证 服务 器 


© 完成 802. 1x 认证 服务 的 配置 .如 图 5-222 所 示 。 
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图 5-222 完成 802. 1x 认证 服务 配置 


(& 回 到 Wireless 主页 面 , 确 认 802. 1x 认证 服务 已 经 建立 成 功 。 
(6) 应 用 配置 ,配置 生效 ,如 图 5-223 和 图 5-224 所 示 。 
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5-223 ”应 用 配置 (1) 
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图 5-224 应 用 配置 (2) 


(7) 测试 802. 1x 认证 。 
(D 打开 无 线 网 卡 ,配置 802. 1x 客户 端 ,如 图 5-225 一 图 5-229 所 示 。 
VOCE RISE HE 2 
EE 选择 无 线 网 络 
[Rd 单 击 以 下 列表 中 的 项 目 以 连接 到 区 域内 的 无 线 网 络 或 获得 更 多 信息 W. 
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未 设置 安全 机 制 的 无 线 网 络 


student-eb 


未 设置 安全 机 制 的 无 线 网 络 


图 5-225 测试 802. 1x 认证 (1) 


© 配置 完成 后 ,Windows 会 弹出 如 下 窗口 ,要 求 提供 证 书 或 凭据 ,如 图 5-230 所 示 。 
@ 单 击 , 出 现 如 下 窗口 ,输入 用 户 名 和 密码 ,如 图 5-231 所 示 。 
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图 5-228 测试 802. 1x 认证 (3) 


P 无 线 网 络 连接 2 
单 击 此 外 选择 连接 到 | 


图 5-230 ”提供 证 书 或 凭据 
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当 计算 宙 信 息 可 用 时 验证 为 计算 机 (CO. 
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图 5-227 配置 无 线 网 络 属性 
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图 5-229 测试 802. 1x 认证 (4) 


图 5-231 登录 无 线 局 域 网 络 
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© 输入 正确 的 用 户 名 和 密码 后 , 即 可 正常 访问 网 络 , 如 图 5-232 所 示 。 
Rae 2 
选择 无 线 网 络 


单 击 以 下 列表 中 的 项 目 以 连接 到 区 域内 的 无 线 网 络 或 获得 更 多 信息 Ww. 
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student-web 
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student-mac 
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adsl@dom 


* 启用 安全 的 无 线 网 络 
Wireless 


未 设置 安全 机 制 的 无 线 网 络 


图 5-232 正常 登录 访问 无 线 局 域 网 


(8) 查看 用 户 的 连接 状态 。 
(D Æ RingMaster 的 Monitor Clients by MX, 查 看 连接 的 用 户 信息 ,如 图 5-233 
所 示 。 
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图 5-233 查看 用 户 的 连接 状态 


CO 查看 用 户 的 用 户 名 、 密 码 和 接 入 类 型 等 信息 ,如 图 5-234 所 示 。 
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图 5-234 查看 用 户 接 入 信息 


(9) 验证 测试 。 
使 用 STA2 ping STA1, 可 以 ping ii. 


59 ”配置 无 线 局 域 网 中 的 WPA 加 密 


【实验 名 称 】 

配置 无 线 局 域 网 中 的 WPA 加 密 。 

【实验 目的 】 

掌握 WEP-PSK 加 密 方 式 , 无 线 局 域 网 的 概念 及 搭建 方法 。 
【背景 描述 】 


小 张 从 学 校 毕业 后 直接 进入 一 家 企业 担任 网 络 管理 员 , 发 现 公司 内 能 搜 到 很 多 
SSID ,直接 就 可 以 接 人 无 线 局 域 网 ,没有 任何 认证 加 密 手 段 。 巾 于 无 线 局 域 网 不 像 有 线 
网 络 , 有 严格 的 物理 范围 ,无 线 局 域 网 的 无 线 信 号 可 能 会 广播 到 公司 办 公 室 以 外 的 地 方 ， 
或 大 楼 外 ,或 别 的 公司 ,都 可 以 搜 到 。 这 样 收 到 信号 的 人 就 可 以 随意 接 入 到 网 络 中 ,很 不 
安全 。 于 是 你 建议 采用 WPA-PSK 加 密 的 方式 来 对 无 线 网 进行 加 密 及 接 入 控制 ,只 有 和 输 
入 正确 密 钥 的 才 可 以 接 入 到 无 线 局 域 网 中 .并 且 数 据 传 输 也 是 加 密 的 。 

【需求 分 析 】 

需求 : 防止 非法 用 户 连接 进来 .防止 无 线 信 号 被 窃听 。 

分 析 : 共享 密 钥 的 接 入 认证 。 数 据 加 密 , 防 止 非法 窃听 。 
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【实验 拓扑 】 

图 5-235 所 示 网 络 拓扑 ,是 某 企业 无 线 局 域 网 络 拓扑 ,公司 为 保证 公司 内 部 信息 安 
全 ,希望 采用 WPA-PSK 加 密 的 方式 ,对 无 线 网 进行 加 
密 及 接 信 控制 ,只 有 输入 正确 密 钥 的 才 可 以 接 入 到 无 “和 
线 局 域 网 中 ,并 且 数据 传输 也 是 加 密 的 ,提高 网 络 安全 STAI 
A. 


【实验 设备 】 E MP-71 
MXR-2 1 £; MP-71 1 台 ; 带 无 线 网 卡 的 PC 1 6. 


STA2 

NE xd. 图 5-235 Wed Mp JE AURI LRL An 

* 智能 无 线 产品 的 基本 原理 。 

* WPA Ji & 

WPA 全 名 为 Wi-Fi Protected Access, fj WPA 和 WPA2 两 个 标准 ,是 一 种 保护 无 
线 计 算 机 网 络 (Wi-Fi) 安 全 的 系统 , 它 是 应 研究 者 在 前 一 代 的 系统 有 线 等 效 加 密 (WEP) 
中 找到 的 几 个 严重 的 弱点 而 产生 的 。WPA 实现 了 IEEE 802. 11i 标准 的 大 部 分 功能 ,是 
在 802. 11i 完备 之 前 替代 WEP 的 过 渡 方案 。 

过 去 的 无 线 LAN 之 所 以 不 太 安全 ,是 因为 在 标准 加 密 技 术 WEP 中 存在 一 些 缺 点 。 
WEP 的 问题 来 源 于 网 络 上 各 台 设 备 共享 使 用 一 个 密 钥 。 该 密 钥 存在 不 安全 因素 ,其 调度 
算法 上 的 弱点 让 恶意 黑客 能 相对 容易 地 拦截 并 破坏 WEP 密码 ,进而 访问 到 局 域 网 的 内 
部 资源 。WPA 是 继承 了 WEP 基本 原理 而 又 解决 了 WEP 缺点 的 一 种 新 技术 。 由 于 加 强 
了 生成 加 密 密 钥 的 算法 ,因此 即便 收集 到 分 组 信息 并 对 其 进行 解析 ,也 几乎 无 法 计算 出 通 
FARA. WPA 还 追加 了 防止 数据 中 途 被 算 改 的 功能 和 认证 功能 。 由 于 具备 这 些 功能 ， 
WEP 中 此 前 备 受 指责 的 缺点 得 以 全 部 解决 。 

WPA 的 设计 可 以 用 在 所 有 的 无 线 网 卡 上 ,但 未 必 能 用 在 第 一 代 的 无 线 取 用 点 上 。 
WPA 是 一 种 基于 标准 的 可 互 操作 的 WLAN 安全 性 增强 解决 方案 ,可 大 大 增强 现 有 以 及 
未 来 无 线 局 域 网 系统 的 数据 保护 和 访问 控制 水 平 。WPA 源 于 正在 制定 中 的 IEEE 802. 
lli 标准 并 将 与 之 保持 前 向 兼容 。 部 署 适当 的 话 , WPA 可 保证 WLAN 用 户 的 数据 受到 
保护 ,并 且 只 有 授权 的 网 络 用 户 才 可 以 访问 WLAN 网 络 。 

由 于 WEP 业已 证 明 的 不 安全 性 ,在 802. 11i 协议 完善 前 ,采用 WPA 为 用 户 提供 一 
个 临时 性 的 解决 方案 。 该 标准 的 数据 加 密 采 用 TKIP 协议 (Temporary Key Integrity 
Protocol) ,认证 有 两 种 模式 可 供 选 择 ,一 种 是 使 用 802. 1x 协议 进行 认证 ;一 种 是 称 为 预 
先 共享 密 钥 PSK(Pre-Shared Key) 的 模式 。 

WPA 是 一 种 基于 标准 的 可 互 操作 的 WLAN 安全 性 增强 解决 方案 ,可 大 大 增强 现 有 
以 及 未 来 无 线 局 域 网 系统 的 数据 保护 和 访问 控制 水 平 。WPA 源 于 正在 制定 中 的 IEEE 
802. 11i 标准 并 将 与 之 保持 前 向 兼容 。 部 署 适当 的 话 , WPA 可 保证 WLAN 用 户 的 数据 
受到 保护 ,并 且 只 有 授权 的 网 络 用户 才 可 以 访问 WLAN 网 络 。 

Wi-Fi 保护 接 人 (WPA) 是 改进 WEP 所 使 用 密 钥 的 安全 性 的 协议 和 算法 。 它 改变 了 
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密 钥 生 成 方式 ,更 频繁 地 变换 密 钥 来 获得 安全 。 它 还 增加 了 消息 完整 性 检查 功能 来 防止 
数据 包 伪造 。 

WPA 的 功能 是 替代 现行 的 WEP 协议 。 

WPA 通过 使 用 一 种 名 为 TKIP( 和 暂时 密 钥 完 整 性 协议 ) 的 新 协议 来 解决 上 述 问题 。 
使 用 的 密 钥 与 网 络 上 每 台 设备 的 MAC 地 址 及 一 个 更 大 的 初始 化 向 量 合并 ,来 确信 每 一 
节点 均 使 用 一 个 不 同 的 密 钥 流 对 其 数据 进行 加 密 。 随 后 ,TKIP 会 使 用 RC4 加 密 算法 对 
数据 进行 加 密 , 但 与 WEP 不 同 的 是 ,TKIP 修改 了 常用 的 密 钥 ,从 而 使 网 络 更 为 安全 ,不 
易 遭 到 破坏 。 

WPA 也 包括 完整 性 检查 功能 以 确信 密 钥 尚 未 受到 攻击 ,同时 加 强 了 由 WEP 提供 的 
形同虚设 的 用 户 认证 功能 ,并 包含 对 802. 1x 和 EAP( 扩 展 认 证 协议 ) 的 支持 。 这 样 ， 
WPA 既 可 以 通过 外 部 RADIUS( 拨 入 用 户 远 程 验 证 ?服务 对 无 线 用 户 进行 认证 ,也 可 以 
在 大 网 络 中 使 用 RADIUS 协议 自动 更 改 和 分 配 密 钥 。 

WPA2 不 能 用 在 某 些 旧 的 网 卡 上 。 这 两 个 都 提供 优良 的 保全 能 力 , 但 也 都 有 两 个 
明显 的 问题 :WPA 或 WPA2 一 定 要 启动 并 且 被 选 来 代替 WEP 才 有 用 ,但 是 大 部 分 的 
安装 指引 都 把 WEP 列 为 第 一 选择 。 在 使 用 家 中 和 小 型 办 公 室 最 可 能 选用 的 “个 人 ” 模 
式 时 ,为 了 保全 的 完整 性 ,所 需 的 密语 一 定 要 比 已 经 教 用 户 设 定 的 6 一 8 个 字符 的 密码 
还 长 。 

。 WEP-PSK 加 密 技 术 。 

无 线 网 络 因 为 是 通过 电波 传输 数据 ,原则 上 无 线 网 络 会 比 有 线 网 络 更 容易 受到 入 侵 ， 
只 需要 在 此 无 线 网 络 的 范围 之 内 ,就 可 以 通过 计算 机 进入 你 的 无 线 网 络 。 

WEP 是 一 种 在 接 入 点 和 客户 端 之 间 以 RC4 方式 对 分 组 信息 进行 加 密 的 技术 ,密码 
很 容易 被 破解 。WEP 使 用 的 加 密 密 钥 包括 收发 双方 预先 确定 的 40 位 (或 104 位 ) 通 用 密 
钥 , 以 及 发 送 方 为 每 个 分 组 信息 所 确定 的 24 位 被 称 为 W 密 钥 的 加 密 密 钥 。 但 是 ,为 了 将 
IV 密 钥 告诉 给 通信 对 象 , V 密 钥 不 经 加 密 就 直接 嵌入 到 分 组 信息 中 被 发 送出 去 。 如 果 通 
过 无 线 窃听 ,收集 到 包含 特定 W 密 钥 的 分 组 信息 并 对 其 进行 解析 ,那么 就 连 秘密 的 通用 密 
钥 都 可 能 被 计算 出 来 。 

WPA 是 继承 了 WEP 基本 原理 而 又 解决 了 WEP 缺点 的 一 种 新 技术 。 由 于 加 强 了 生 
成 加 密 密 钥 的 算法 ,因此 即便 收集 到 分 组 信息 并 对 其 进行 解析 ,也 几乎 无 法 计算 出 通用 
密 钥 。 

WEP( 有 线 等 效 加 密 ) 尽 管 从 名 字 上 看 似乎 是 一 个 针对 有 线 网 络 的 安全 选项 ,其 实 并 
不 是 这 样 。WEP 标准 在 无 线 网 络 的 早期 已 经 创建 ,目标 是 成 为 无 线 局 域 网 (WLAN) 的 
必要 的 安全 防护 层 ,但 是 WEP 的 表现 无 疑 令 人 非常 失望 。 它 的 根源 在 于 设计 上 存在 
缺陷 。 

在 使 用 WEP 的 系统 中 ,在 无 线 网 络 中 传输 的 数据 是 使 用 一 个 随机 产生 的 密 钥 来 加 
密 的 。 但 是 ,WEP 用 来 产生 这 些 密 钥 的 方法 很 快 就 被 发 现 具有 可 预测 性 ,这 样 对 于 潜在 
的 入 侵 者 来 说 ,就 可 以 很 容易 地 截取 和 破解 这 些 密 钥 。 即 使 是 一 个 中 等 技术 水 平 的 无 线 
黑客 ,也 可 以 在 2 一 3 分 钟 内 迅速 地 破解 WEP 加 密 。 

IEEE 802. 11 的 动态 有 线 等 效 保密 模式 是 20 世纪 90 年 代 后 期 设计 的 ,当时 功能 强 
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大 的 加 密 技 术 作为 有 效 的 武器 受到 美国 严格 的 出 口 限制 。 由 于 害怕 强大 的 加 密 算法 被 破 
解 ,无 线 网 络 产 品 是 被 禁止 出 口 的 。 然 而 ,仅仅 两 年 以 后 ,动态 有 线 等 效 保密 模 式 就 被 发 
现存 在 严重 的 缺点 。 无 线 网 络 产业 不 能 等 待 电气 电子 工程 师 协 会 修订 标准 ,因此 推出 动 
态 密 钥 完整 性 协议 TKIP( 动 态 有 线 等 效 保密 的 补丁 版 本 )。 

尽管 WEP 已 经 被 证 明 是 过 时 且 低 效 的 ,但 是 今天 在 许多 现代 的 无 线 访问 点 和 路 上 
器 中 , 它 依然 被 支持 。 不 仅 如 此 , 它 依然 是 被 个 人 或 公司 所 使 用 的 最 多 的 加 密 方法 之 一 。 
但 从 网 络 的 安全 方面 考虑 , 尽 可 能 不 要 再 使 用 WEP。 

无 线 网 络 最 初 采用 的 安全 机 制 是 WEP, 但 是 后 来 发 现 WEP 是 很 不 安全 的 ,802. 11 
组 织 开 始 着 手 制定 新 的 安全 标准 ,也 就 是 后 来 的 802. 11i 协议 。 但 是 从 标准 的 制定 到 最 
后 的 发 布 需要 较 长 的 时 间 ,而 且 考 虑 到 消费 者 不 会 为 了 网 络 的 安全 性 而 放弃 原来 的 无 线 
设备 ,因此 Wi-Fi 联盟 在 标准 推出 之 前 , 在 802. 11i 草案 的 基础 上 制定 了 一 种 称 为 WPA 
的 安全 机 制 , 它 使 用 TKIP。 它 使 用 的 加 密 算 法 还 是 WEP 中 使 用 的 加 密 算法 RC4, 所 以 
不 需要 修改 原来 无 线 设 备 的 硬件 。WPA 针对 WEP 中 存在 的 问题 : 密 钥 管理 过 于 简单 、 
对 消息 完整 性 没有 有 效 的 保护 ,通过 软件 升级 的 方法 提高 网 络 的 安全 性 。 

WPA 的 出 现 给 用 户 提 供 了 一 个 完整 的 认证 机 制 ,AP 根据 用 户 的 认证 结果 决定 是 否 
允许 其 接 入 无 线 网 络 中 ;认证 成 功 后 可 以 根据 多 种 方式 (传输 数据 包 的 多 少 、 用 户 接 入 网 
络 的 时 间 等 ) 动 态 地 改变 每 个 接 人 用 户 的 加 密 密 钥 。 另 外 ,对 用 户 在 无 线 中 传输 的 数据 包 
进行 MIC 编码 ,确保 用 户 数据 不 会 被 其 他 用 户 更 改 。 作 为 802. 11i 标准 的 子 集 , WPA 的 
核心 就 是 IEEE 802. 1x 和 TKIP. 

WPA 考虑 到 不 同 的 用 户 和 不 同 的 应 用 安全 需要 ,例如 ,企业 用 户 需 要 很 高 的 安全 保 
护 ( 企 业 级 ) ,否则 可 能 会 泄露 非常 重要 的 商业 机 密 ; 而 家 庭 用 户 往往 只 是 使 用 网 络 来 浏览 
Internet, It% E-mail、 打 印 和 共享 文件 ,这些 用 户 对 安全 的 要 求 相对 较 低 。 为 了 满足 不 同 
安全 要 求 用 户 的 需要 ,WPA 中 规定 了 两 种 应 用 模式 :企业 模式 和 家 庭 模 式 ( 包 括 小 型 办 
公 室 ) 。 

根据 这 两 种 不 同 的 应 用 模式 , WPA 的 认证 也 分 别 有 两 种 不 同 的 方式 。 对 于 大 型 企 
业 的 应 用 , 常 采 用 802. 1x 十 EAP 的 方式 ,用 户 提供 认证 所 需 的 凭证 。 但 对 于 一 些 中 小 型 
的 企业 网 络 或 家 庭 用 户 ,WPA 也 提供 一 种 简化 的 模式 , 它 不 需要 专门 的 认证 服务 器 。 这 
种 模式 叫做 “WPA 预 共享 密 钥 (WPA-PSK)”, 它 仅 要 求 在 每 个 WLAN 节点 (AP 无 线路 
由 器 和 网 卡 等 ) 预先 输入 一 个 密 钥 即 可 实现 。 

这 个 密 钥 仅仅 用 于 认证 过 程 , 而 不 用 于 传输 数据 的 加 密 。 数 据 加 密 的 密 钥 是 在 认证 
成 功 后 动态 生成 ,系统 将 保证 “一 户 一 密 ”, 不 存在 像 WEP 那样 全 网 共享 一 个 加 密 密 钥 的 
情形 ,因此 大 大 地 提高 了 系统 的 安全 性 。 


【实验 原理 】 

WPA-PSK 加 密 方式 的 无 线 局 域 网 是 采用 共享 密 钥 形 式 的 接 入 、 加 密 方式 , 即 在 AP 
上 设置 了 相应 的 密 钥 ,在 客户 端 也 需要 输入 和 AP 端 一 样 的 密 钥 才 可 以 正常 接 入 ,并 上 且 
AP 与 无 线 客户 端的 通信 也 通过 了 加 密 。 即 使 有 人 抓 取 到 无 线 数据 包 , 也 看 不 到 里 面相 
应 的 内 容 。 
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WPA 加 密 方 式 比 WEP 具有 更 高 的 安全 性 ,由 于 其 采用 高 级 的 加 密 算 法 ,所 以 不 
容易 被 破解 。 在 实际 使 用 时 ,如 果 客 户 端 都 支持 该 种 加 密 方式 ,推荐 使 用 该 加 密 
Fi Dis 


【实验 步骤 】 

(1) 配置 无 线 交 换 机 的 基本 参数 。 

(D 无 线 交 换 机 的 默认 IP 地 址 是 192. 168. 100. 1/24, 因 此 将 STAT AY IP 地 址 配置 为 
192. 168. 100. 2/24 ,并 打开 浏览 器 登录 到 https://192. 168. 100. 1 ,弹出 图 5-236 所 示 界 
面 , 单 击 “ 是 ”按钮 。 

系统 的 默认 管理 用 户 名 是 admin ,密码 为 空 , 如 图 5-237 所 示 。 


EHE) 192.168.100.1 


® ESET AMAT SEREAMEMER. BAA 
O d 二 


o 该 安全 证 书 的 日 期 有 效 。 RP&00: f asin v 


suo: D. - ] 
口 记 住 我 的 密码 @) 


A 安全 证 书 上 的 名 称 无 效 ， 或 者 与 站 点 名 称 不 匹配 。 

是 否 继续 ? 

Cn | ere Ceo 
图 5-236 ”安全 警报 图 5-237 登录 无 线 交换 机 


© 输入 用 户 名 和 密码 后 就 进入 了 无 线 交 换 机 的 Web 配置 页 面 , 单 击 Start 按钮 , 进 
入 快速 配置 指南 ,如 图 5-238 所 示 。 


WIZARDS 
L-—À 
SYSTEM Quick Start wizard will replace the current configuration 
General with a new one. 
IP Services 
Ports 
VLANs d 
Security 
WIRELESS 
Access Points 
Services 
AUTHENTICATION 
Users 
Devices EI] ux 
RADIUS 
ie] 


图 5-238 ”进入 无 线 交 换 机 Web 配置 页 面 
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@ 选择 管理 无 线 交 换 机 的 工具 RingMaster, 如 图 5-239 所 示 。 


WIZARDS 2n 
I Conicuration Type View Hep ——— 
I 
SYSTEM Select the management platform you plan to use for 
General configuring and managing this switch in the future. 
IP Services 
Ports How wi youmansgo Ea 
VLANs = 
Security — Em | 
WIRELESS 1 
Access Points 
Services 
AUTHENTICATION 
Users 
Devices 
RADIUS 
a Ex] 国 


图 5-239 选择 管理 无 线 交 换 机 工具 


CD 配置 无 线 交 换 机 的 TP 地 址 、 子 网 掩 码 以 及 默认 网 关 , 如 图 5-240 所 示 。 


WIZARDS - 
| Quick Start — — IP Configuration View Help EO 
| 

SYSTEM Specify the following parameters to connect this 

General switch to the network. 

IP Services 一 

Ports P 92. 168. 100. 254 ] 

VLANs 


Security IP mask bits 


WIRELESS Default router 192. 168. 100. 1| 


Access Points 


Services 
AUTHENTICATION 

Users 

Devices 

RADIUS 


= [s] 
图 5-240 配置 无 线 交换 机 的 IP 


E 


O 设置 系统 的 管理 密码 ,如 图 5-241 所 示 。 

© 设置 系统 的 时 间 以 及 时 区 ,如 图 5-242 所 示 。 

CD 确认 并 完成 无 线 交换 机 的 基本 配置 ,如 图 5-243 所 示 。 

(2) 通过 RingMaster 网 管 软件 进行 无 线 交 换 机 的 高 级 配置 。 

(D 运行 RingMaster, 地 址 为 127. 0. 0. 1 ,端口 为 443 ,用户 名 和 密码 默认 为 空 ,如 
5-244 所 示 o 
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SYSTEM 
General 


IP Services 
Ports 
VLANs 
Security 
WIRELESS 
Access Points 
Services 
AUTHENTICATION 
Users 
Devices 
RADIUS 


SYSTEM 
General 


IP Services 
Ports 
VLANs 
Security 
WIRELESS 
Access Points 
Services 


AUTHENTICATION 
Users 


Devices 


Password View Help EZ] 


Specify the password for future management access 
to the system. 


Password —" | 


5-241 设置 系统 的 管理 密码 


Date and Time 


Set the time and date on the switch. 


oss — [OVE] 
Time rosas: s i 


Timezone | (GUT+8:00) Beijing, Chongqing, Hong Kong 


t 


5-242 设置 系统 的 时 间 以 及 时 区 


SYSTEM 
General 


IP Services 

Ports 

VLANs 

Security 
WIRELESS 

Access Points 

Services 
AUTHENTICATION 

Users 

Devices 

RADIUS 


图 5-243 


Configuration Summary View Help EE 


Review the configuration settings. 


192.168.100.254/24 
192.68.100.1 — 


After you click Finish, web management will be 
disabled. 


E Es] 


确认 并 完成 无 线 交换 机 的 基本 配置 
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了 了 RingsMaster 7.0 


ee [BEEDD 4 
: Qm 
RingMaster wml | 


Tasword 


E kamber usd nase srd passaord 


HIP 2 
HUNE 


图 5-244 运行 RingMaster 网 管 软件 


Q) 选择 Configuration, 进 入 配置 界面 ,并 添加 被 管理 的 无 线 交 换 机 ,如 图 5-245 


区 D 3 
Devices Monitor Security 
Organizer © Configuration ~ shad Ts 
D È Thira Party APs 一 Create R 
Network Plan © Create Mobility De 
Metwork Plan Name shdd © Create Mobility b 
Country Code China (C) © create Third Party 
2.4 Ghe Channel Set 1, 6, 11 
5 Ghz Channel Set 149, 153, 157, 161, 165 


Verification 


Network Dossin 
Heteerk Domain Tame Tot Assigned 
Network Domain Seeds Hot Assigned 
Metwork Domain Members Mot Assigned 


Config: O Errors; O Warnings Local Changes: none Tetwork Changes: sena Alas | 
图 5-245 进入 配置 界面 


C) 输入 被 管理 的 无 线 交换 机 的 IP 地 址 ,Enable 密码 ,如 图 5-246 一 图 5-248 所 示 。 
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Tz RingMaster 7.0: Plan (shdd) 


ord and click Text to retrieve its configuration. 


TP Address foz 16510025] eee 
Enable Password [@@| 4— 


Updated [Enable Password] Value [eveveres] 


Config: O Errors: O Vernings Local Changes: none ateork Changes: ome Sues NN © TERT 5] 
图 5-246 输入 被 管理 无 线 交 换 机 的 IPC 


Tz RingMaster 7.0: Plan (shdd) 


wy Upload MX 


ng NK... 


ait for the MIs configuration to be retrieved and click Next to save the changes. 


‘Querying Boot Status and Serial Number: 192.168.100.254:8889 
Device Model = MXR-2 

Booted Version = 6.0.7.2.0 

Next Version = 6.0.7.2.0 

Image Location = boot0:Mx060702.002 

Configuration Location = configuration 

Serial Number = 0721600029 


Uploading device: 192.168.100.254:8889 


Walting for response from device: 192.168.100.254:8889 
Received network data for: 192.168.100.254:8889 
Processing network data for device: 192.168,100.254:8889 
Done processing uploaded data. 


Successfully uploaded device MXR-2-580CB8. 


Config: O Errors; O Warnings Local Changes: none 


图 5-247 输入 被 管理 无 线 交 换 机 的 IP(2) 


CD 完成 添加 后 ,进入 无 线 交换 机 的 操作 界面 ,如 图 5-249 所 示 。 
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Tz RingMaster 7.0: Plan (shdd) 


Upload Complete 


Click Finish to complete the wizard, 
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Li 


Successfully added device MXR-2-560CB8 to the network plan. 


Pus Gene pal 


J 
R e & 7 ^ a 


Yo EGG 


Mobility Trek 


Saktoura Versien 


rem oui [oot Qs 190.100.100. 250/24 =) 


Councey Cole. 
Bavia Seearity 


Munnconent Interface 


p 


soars (ae cm aR) 


p 


ME Associations 


Webstity Domain 


Wiring Closet 


Ddin rev ee 


Mx-2-560c38 


ao 


jan- secre | 


rm 


os 


Tet Assit 
Tere 


Qro st 

© Software Version, 
Omia 

One 


© Sraten Infomation 


日 


be | 


[vr | 


[nex designs v] 


Gr Te 
Qo tete 
Qo to Verification 
Qo to nume 


CORTES 


Otmar 
Quos auta ar 
Qe Ato AP 
On ver torertece 
Osum 
DIT 


pog teed Geen owe Tew Gag oe ë IE 


图 5-249 登录 无 线 交换 机 的 操作 界面 


(3) 配置 无 线 AP。 
(D 选择 Wireless 一 Access Points 选项 ,添加 AP, 如 图 5-250 所 示 。 
© 为 添加 的 AP 进行 命名 ,并 选择 连接 方式 ,默认 使 用 Distributed 模式 ,如 图 5-251 


所 示 。 


A 
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Leni Balancing 


SRE aem e we | 


beats oas 5 

Local Suitshing Quir toot Configuration 
Own 
ae 
HE Detection 
LN, Other 

Tecal Weer Database O comert ot E 
sens 
mp Queer nee AF 
‘OE AT Access Rules O conn ne ar 


Lecetien ay 
ebiti ty Profils 
3-djnirt rev are 


Config: 1 Error. 2 Warnings Local Changes: rete Belverk Changes: sere Alarma! [ofc] & 


图 5-250 配置 无 线 AP 


s RimeMaster 7.0: Plon (sh) 
Ula even Ted Md 


和 > q 


Pasian 


7o Cmfigeration ~ Meeers Paints 


A ebur, uiv ame and cuaractiva for the AP. Connecting de AP Te a port 
romaver the part fae all FEAE 


Tes (ec: 


] 
"Bees 可 = 选择 分 作 式 连接 


Mobility Festis 
Thin Perty wee 


图 5-251 为 添加 的 AP 命名 


C 将 需要 添加 的 AP 机 身后 面 的 SN 号 输入 对 话 框 , 用 于 AP 与 无 线 交 换 机 的 注册 
过 程 ,如 图 5-252 所 示 。 
@ 选择 添加 AP 的 具体 型 号 和 传输 协议 ,完成 AP 添加 ,如 图 5-253 所 示 。 
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T ingMester 7,0: Pan shu 


e 


Grecis n em AP ALTRI RSAC TT 
a ee oe) 


Config’ Y eres: 2 Warnings 


图 5-252 添加 AP 机 身后 的 SN 号 


Select the AP pe 


aras gs a 

TU 

Jal 2 Ie [iia] 
c= 
a 


AP Boot Configuration 


a 
Comrat tote AP 
Mansos Arte AP 


nt rev ire 


图 5-253 选择 添加 AP 的 型 号 和 传输 协议 


(4) 配置 无 线 交 换 机 的 DHCP 服务 器 。 
(D 选择 System—> VLANs 选项 ,然后 选择 default vlan, 进 入 属性 配置 ,如 图 5-254 
所 示 。 
© 进入 Properties DHCP Server 选项 ,激活 DHCP 服务 器 ,设置 地 址 池 和 DNS, 保 
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& 


verification 


nom 


TU Tag Type (802.10 


DECUIT 
| 


vain [m 


‘Spamming Tree Properties 
‘Enable Uplink Fast [7 
eade Backbone Fest C 
HE Detection 
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图 5-254 配置 无 线 交换 机 的 DHCP 服务 器 


存 , 如 图 5-255 所 示 。 
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图 5-255 激活 无 线 交 换 机 的 DHCP 服务 器 


© 选择 System— Ports 选项 ,将 无 线 交 换 机 的 端口 POE 打开 ,并 保存 ,如 图 5-256 


所 示 。 


262 


m— 5.9 配置 无 线 局 域 网 中 的 WPA 加 密 
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图 5-256 打开 无 线 交换 机 端口 POE 


(5) 配置 Wireless Services。 
CD 在 菜单 Configuration 下 ,选择 Wireless Wireless Services 选项 ,如 图 5-257 
所 示 。 
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5-257 fic # Wireless Services 


@ 创建 一 个 Service Profile: 在 管理 页 面 右 边 Create 的 下 面 单 击 Open Access 
Service Profile 链接 ,如 图 5-258 所 示 。 
© 输入 测试 使 用 的 Service Profile. 名 为 wpa. SSID 为 test-wpa. SSID 类 型 为 
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Tasks 
MX8542 Changes Kx 
Osee 
© deploy 
Create a 


© 802. 1X Service Profile 

Q Voice Service Profile 

© Web-Portal Service Profile 
© Open Access Service Profile 
© Mesh Service Profile 

© Custom Service Profile 


图 5-258 创建 一 个 Service Profile 


Encrypted, 即 加 密 的 ,如 图 5-259 所 示 。 


ty Open Access Service Profile 
Service Profile Identifier 


Enter a unique neme to identify the Service Profile and specify the SSID. You can also configure whether 
wireless traffic should be encrypted. 


Yes. [vod 


test-wpa 


sm tne 


[Updated [Name] Value [wpa] 


图 5-259 输入 测试 使 用 的 Service Profile 名 


CD 选择 使 用 WPA 加 密 方 式 , 如 图 5-260 所 示 。 


ts Open Access Service Profile 
Wireless Security 


Select one or more wireless security standards. You can configure an SSID to support any combination of 
BSN, WPA, and non-fPA clients. RSN (sometimes called YPA2) and WPA provide stronger security than WEP. 


RSW amo) O 
m 
Static WEP O 


[Updated [¥PA] Value [Yes] 


图 5-260 选择 WPA 加 密 
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C) 输入 共享 密 钥 1234567890, MA 5-261 所 示 。 


ws Open Access Service Profile 


Pre-shared Key 


Enter the encrypted pre-shered key to use for client authentication To generate an encrypted key, enter 
either a raw pre-shared key or a pass-phrase and click on Encrypt 


Pre-shared Key [1234567890 


bend 


[Updated [Pre-shared Key] Value [1234567880] 


图 5-261 输入 共享 密 钥 


© 单 击 Encrypt 按钮 ,就 通过 加 密 算法 生成 了 密 钥 , 如 图 5-262 所 示 。 


wy Open Access Service Profile 


Pre-shared Key 


Enter the encrypted pre-shared key to use for client authentication To generate an encrypted key, enter 
either a rav precshared key or a passphrase and click on Encrypt 


Pre-shared Key [540356125 £060406525aT81b1 a501 d 


= 


(Updated [Pre-shared Key] Value [02S7S30#00055e224d4c5e495e4e4752.._] 


图 5-262 通过 加 密 算法 生成 密 钥 


© 单 击 Next 按钮 ,弹出 的 窗口 中 使 用 默认 设置 . 即 TKIP 的 加 密 算 法 ,如 图 5-263 


所 示 。 
VLAN Name 为 default, 如 图 5-264 所 示 。 


265 


mm 第 5 章 无 线 局 域 网 络 安全 Eee 


266 


wy Open Access Service Profile 
Wireless Encryption Cipher Suites 


Select one or more cipher suites. WPA and RSN support the following cipher suites for packet encryption, 
listed from most secure to least secure 


ars cow) O 
Counter Mode with Cipher Block Chaining Message Authentication Code Protocol (CCMP)-CCMP provides Advanced 


Encryption Standard (AES) date encryption. To provide message integrity, COMP uses the Cipher Block Chaining 

Message Authentication Code (CBC-MAC), 
Tür 

Temporal Key Integrity Protocol (TKIF)-TKIF uses the BC4 encryption algorithm, a 128-bit encryption key, a 
48-bit initialization vector (IV), and a message integrity code (MIC) called Michael 

wer-104 [v] 
Wired Equivalent Privacy WEP) with 104-bit keys-104-bit WEP uses the BC4 encryption algorithm with a 104-bit 
key. 

wer- O 
WEP with 40-bit keys-40-bit WEP uses the RC4 encryption algoritha with a 40-bit key 


< Previous Next > || Cancel 
图 5-263 弹出 的 窗口 中 使 用 默认 TKIP 的 加 密 算法 


ux Open Access Service Profile 
Open Access VLAN 


Select the VLAN to use for Open Access users. 


VIAN Name default - 


[Updated [VLAN Name] Value [default] 


[c Previous] [ 49». J 


图 5-264 配置 VLAN Name 


(9) Radio Profiles 使 用 default, 然 后 单 击 Finish 按钮 ,如 图 5-265 所 示 。 

至 此 便 成 功 创建 完 一 个 名 字 叫 做 wpa 的 Service Profile. WA 5-266 所 示 。 

D 单 击 窗口 右边 的 Deploy, 将 刚才 所 做 的 配置 下 发 到 无 线 交 换 机 ,如 图 5-267 所 示 。 
(D 弹出 的 窗口 出 现 Deploy completed 时 ,配置 下 发 完成 ,如 图 5-268 所 示 。 

此 时 配置 完成 ,无 线 局 域 网 便 会 广播 出 采用 WEP 加 密 方式 的 SSID test-wep. 

(6) 测试 无 线 客户 端 。 

CD 打开 无 线 网 卡 , 搜 寻 无 线 局 域 网 ,会 发 现 名 为 test 的 SSID, 并 联 入 该 SSID, 如 
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uy Open Access Service Profile 


Radio Profile Selection 


Select an existing Radio Profile or choose to create a new one to associate with this Service Profile. 


Each 


radio is associated to a single Radio Profile which can associate to multiple Service Profiles. This allows 


a radio to support multiple wireless services. 
[']Create new Radio Profile 


Radio Profiles 


Properties... 


图 5-265 配置 Radio Profiles 


Wireless Service Profiles 
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图 5-266 成 功 创建 Service Profiles 
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图 5-267 配置 下 发 到 无 线 交 换 机 


图 5-269 所 示 。 
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© 此 时 会 提示 输入 WEP 密 钥 ,输入 密 钥 1234567890, aul 5-270 所 示 。 
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C 单 击 “连接 ”按钮 后 ,无 线 客户 端 便 可 以 正确 连接 到 无 线 局 域 网 了 ,如 图 5-271 所 示 。 


Mobility Demin (Q) [ie tarcin) Fis mn E 
n 
we 6.25) Completed Deploy cmplated 


Mistory Selected Errors 

M»: Deploy started 

M»-& Sending configuration changes | 
M»: Applied configuration changes 

M»: Saving MX configuration 

M00: Deploy completed, 


Deploy completed - O failed: 1 


图 5-268 配置 下 发 完成 


(无 线 网 络 连接 5 
选择 无 线 网 络 
单 击 以 下 列表 中 的 项 目 以 这 接 到 区 域内 的 无 本 网 络 或 获得 更 多 信息 W. 


i 
相关 任务 (o> 
d) THERA R ARRIETAN 
qu = 


Y 局 用 安全 的 无 线 网 络 
dg, aman 人 test-vpa 


TP-LINK 
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NEETINGROON 


qe ERNEA 
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wy, =” 
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图 5-269 搜寻 无 线 局 域 网 


无 绕 网 络 连接 


fied MS decia e WEP 密 钥 或 WPA 密 钥 )。 网 络 密 钥 帮 助 阻 


FASB wD: [ 


Eo J[ ws jJ 


图 5-270 输入 密 钥 
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1 无 线 网 络 连 接 5 
选择 无 线 网 络 


test-wep 


相关 任务 NU 
P THEBEN N BARMERA 


3 人 € 
fe Bae d — 
P RETRE q amena 
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«9» 


图 5-271 连接 到 无 线 局 域 网 


无 线 客户 端 可 以 ping 通 无 线 交 换 机 地 址 和 STAT 的 地 址 。 


5.10 非法 AP 和 Client 的 发 现 与 定位 


【实验 名 称 】 

非法 AP 和 Client 的 发 现 与 定位 。 

【实验 目的 】 

掌握 非法 AP 和 Client 的 发 现 与 定位 的 概念 及 操作 方法 。 
【背景 描述 】 


小 张 在 一 家 大 型 单位 担任 网 络 管理 员 ,前 段 时 间 公 司 为 了 工作 人 员 上 网 便利 新 建 了 
基于 智能 无 线 交 换 架 构 的 无 线 局 域 网 。 但 是 建成 后 使 用 过 程 中 ,经 常 看 到 整个 无 线 局 域 
网 内 有 其 他 的 未 经 信息 中 心 允许 的 无 线 AP 在 公司 的 办 公 大 楼 内 。 并 且 小 张 想 随 时 查看 
无 线 局 域 网 内 有 哪些 无 线 客户 端 在 使 用 无 线 局 域 网 ,还 想 随时 找到 他 们 的 位 置 , 为 了 能 快 
速 找到 这 些 未 经 允许 的 AP 和 无 线 局 域 网 内 的 客户 端 ,小 张 想 要 依靠 智能 无 线 交 换 网 络 
系统 的 定位 功能 开展 工作 。 


【需求 分 析 】 
需求 : 在 无 线 局 域 网 的 环境 中 经 常 存在 未 经 允许 的 无 线 设备 接 入 到 我 们 的 网 络 中 ， 
有 了 时 我 们 也 需要 查找 一 些 无 线 的 客户 端 设备 ,如 何 利用 现 有 的 智能 无 线 交换 网 络 进行 非 
法 AP 和 客户 端的 查找 。 
分 析 : 利用 智能 无 线 交 换 网 络 的 非法 设备 自动 发 现 和 定位 以 及 客户 端的 定位 功能 ， 
实现 非法 AP 和 客户 端的 查找 。 
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【实验 拓扑 】 

图 5-272 所 示 网 络 拓扑 ,是 某 企 业 无 线 局 域 网 络 拓 扑 , 公 司 为 保证 公司 内 部 信息 安 
全 ,希望 采用 智能 无 线 交换 网 络 系统 的 定位 功能 ,随时 查看 无 线 局 域 网 内 有 哪些 无 线 客户 
端 在 使 用 无 线 局 域 网 ,还 想 随时 找到 他 们 的 位 置 , 禁 止 未 经 允许 的 AP 和 无 线 局 域 网 内 的 
客户 端 接 入 ,提高 网 络 安全 接 入 。 


E » 无 线 交 换 机 


Client 
非法 AP 


o SCS o 


智能 AP 智能 AP 智能 AP 
图 5-272” 某 企业 无 线 局 域 网 络 拓扑 


【实验 设备 】 
PC 1 台 ; 智 能 无 线 AP 3 台 ; 智 能 无 线 交 换 机 1 台 ; 安 装 有 无 线 网 管 RingMaster 的 服 
务 器 1 台 ; 自 治 型 无 线 AP 1 台 。 


【预备 知识 】 

。 无 线 局 域 网 基本 知识 。 

* 智能 无 线 交 换 网 络 工作 原理 。 

。 智能 无 线 交换 产品 基本 操作 。 

。 非法 AP 定位 。 

无 线 局 域 网 易于 访问 和 配置 简单 的 特性 ,使 网 络 管理 员 和 安全 官员 非常 头痛 。 因 为 
任何 人 的 计算 机 都 可 以 通过 自己 购买 的 AP, 不 经 过 授权 而 连 和 网络。 很 多 部 门 未 通过 
公司 IT 中 心 授权 就 自 建 无 线 局 域 网 ,用 户 通过 非法 AP 接 入 给 网 络 带 来 很 大 安全 隐患。 

在 无 线 AP 接 人 有 线 集线器 的 时 候 , 可 能 会 遇 到 非法 AP 的 攻击 ,非法 安装 的 AP 会 
危害 无 线 网 络 的 宝贵 资源 ,因此 必须 对 AP 的 合法 性 进行 验证 。AP 支持 的 IEEE 802. 1x 
技术 提供 了 一 个 客户 机 和 网 络 相互 验证 的 方法 ,在 此 验证 过 程 中 不 但 AP 需要 确认 无 线 
用 户 的 合法 性 ,无 线 终端 设备 也 必须 验证 AP 是 否 为 虚假 的 访问 点 ,然后 才能 进行 通信 。 
通过 双向 认证 ,可 以 有 效 地 防止 非法 AP 的 接 入 。 对 于 那些 不 支持 IEEE 802. 1x 的 AP. 
则 需要 通过 定期 的 站 点 审查 来 防止 非法 AP 的 接 入 。 在 入 侵 者 使 用 网 络 之 前 ,通过 接收 
天 线 找到 未 被 授权 的 网 络 ,通过 物理 站 点 的 监测 应 当 尽 可 能 地 频繁 进行 ,频繁 的 监测 可 增 
加 发 现 非法 配置 站 点 的 存在 几率 。 选 择 小 型 的 手持 式 检测 设备 ,管理 员 可 以 通过 手持 扫 
描 设备 随时 到 网 络 的 任何 位 置 进行 检测 。 


【实验 原理 】 


无 线 定位 是 一 种 通过 无 线 环境 内 同一 平面 内 的 各 个 AP 采集 到 客户 端 或 非法 AP 的 
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RSSI 值 ( 信 号 强度 ) ,而 由 智能 无 线 交 换 机 计算 非法 AP 或 客户 端 在 平面 的 大 致 位 置 。 
由 于 无 线 信 号 数值 参数 的 采集 经 常 受 到 各 种 各 样 环境 的 影响 ,因此 ,RingMaster 无 
线 网 管 的 定位 较为 简单 ,因此 该 功能 适合 满足 一 些 定位 要 求 比较 低 的 场合 。 


【实验 步骤 】 

(1) 配置 无 线 交 换 机 的 基本 参数 。 

Oz 无 线 交 换 机 默认 IP 地 址 是 192. 168. 100. 1/24, 因 此 将 STAT 的 IP 地 址 配置 为 
192.168. 100. 2/24, 并 打开 浏览 器 登录 到 https://192. 168. 100. 1, 弹 出 图 5-273 所 示 界 
面 , 单 击 “ 是 ”按钮 。 

系统 的 默认 管理 用 户 名 是 admin ,密码 为 空 , 如 图 5-274 所 示 。 


E IER A) 192.168.100.1 
8 EET na hee RE NNER 但 该 站 点 | A 
E o 0o ET Syste Mainistretr 


o "eiüseneme. BP&0: f is Y 
suo: a ] 
ERNER @) 


人 安全 证 书 上 的 名 称 无 效 ， 或 者 与 站 点 名 称 不 匹配 。 
是 否 继续 ? 


Ga Ga Cia] Ceo 
图 5-273 安全 警报 图 5-274 登录 无 线 交换 机 


© 输入 用 户 名 和 密码 后 就 进入 了 无 线 交换 机 的 Web 配置 页 面 , 单 击 Start 按钮 , 进 
入 快 速配 置 指南 ,如 图 5-275 所 示 。 


WIZARDS 
eae) “scone 
SYSTEM Quick Start wizard will replace the current configuration 
General with a new one. 
IP Services 
Ports 
VLANs J 
Security 
WIRELESS 
Access Points 
Services 
AUTHENTICATION 
Users 
Devices Ez] uj 
RADIUS 
i] 


图 5-275 进入 无 线 交 换 机 的 Web 配置 页 面 


O 选择 管理 无 线 交 换 机 的 工具 RingMaster, 如 图 5-276 所 示 。 
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SYSTEM Select the management platform you plan to use for | 
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Security » | 
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Access Points. 
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AUTHENTICATION 
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Devices 

RADIUS 

= Ez] 国 


图 5-276 选择 管理 无 线 交 换 机 的 工具 


@ 配置 无 线 交 换 机 的 TP 地 址 、 子 网 掩 码 以 及 默认 网 关 , 如 图 5-277 所 示 。 


WIZARDS 一 
Quick Start IP Configuration View Help RA 
SYSTEM Specify the following parameters to connect this | 
General Switch to the network. 
IP Services — 
Ports i addross digi 92. 166. 100. 254 
VLANs - 
security IP mask bits. 


WIRELESS Default router 
Access Points 


Services 
AUTHENTICATION | 

Users 

Devices 

RADIUS 


E Ea] w 
图 5-277 配置 无 线 交换 机 的 TP 地 址 


O 设置 系统 的 管理 密码 ,如 图 5-278 所 示 。 

© 设置 系统 的 时 间 以 及 时 区 ,如 图 5-279 所 示 。 

CD 确认 并 完成 无 线 交换 机 的 基本 配置 ,如 图 5-280 所 示 。 

(2) 通过 RingMaster 网 管 软件 进行 无 线 交 换 机 的 高 级 配置 。 

(D 运行 RingMaster 软件 ,地 址 为 127. 0. 0. 1 ,端口 为 143, 用 户 名 和 密码 默认 为 空 ， 


如 图 5-281 所 示 。 


© 选择 Configuration. 进入 配置 界面 ,并 添加 被 管理 的 无 线 交换 机 ,如 图 5-282 


所 示 。 
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Password View Help EZ] 


SYSTEM Specify the password for future management access 
General to the system. 


IP Services 
Ports 
VLANs 
Security 


WIRELESS 4 
Access Points 
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Users 
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图 5-278 设置 系统 的 管理 密码 


Date and Time 


SYSTEM Set the time and date on the switch. 
General 
IP Services Date jB/os/208 — 


Ports meen | 


VLANs 
Timezone | (GUT+8:00) Beijing, Chongqing, Hong Kong 


Security 


WIRELESS t 
Access Points 


Services 
AUTHENTICATION 
Users 
Devices 
RADIUS 


"oo" summary View Help EQ d 


SYSTEM Review the configuration settings. 
General 


IP Services IP address 192.168.100.254/24 


Ports 8 
VLANs Admin password Modified 
Security 


WIRELESS After you click Finish, web management will be 
Access Points disabled. 


Devices 
RADIUS 


E El 3| 


图 5-280 ”确认 并 完成 无 线 交换 机 的 配置 
1273 


图 5-281 运行 RingMaster 网 管 软件 


& e 9 3 


Policies RF Flaming Verification Devices Monitor Security 
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Mobility De 
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Bq) Third Party APs 


Network Plan 
Network Flan Bane zhdd 
Country Code China (CI) © Create Third Party 
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Netuork Donsin 
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EE 
QD Convert Auto AP 
© Remove Auto AP 
© Metwork Donsin 


Config: O Errore: O Warnings Local Changes: aane Network Changes) ans Hara | 


图 5-282 添加 被 管理 的 无 线 交换 机 


C 输入 被 管理 的 无 线 交 换 机 的 IP 地 址 , Enable 密码 ,如 图 5-283 ~ FA 5-285 
所 示 。 
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$3 RingMaster 7.0; Plan (shdd) 


Upload NX 


Enter the NME's IP address and enable password and click Next to retrieve its configuration 


IP Address. (92165.100 51] e. 


Enable Password 


Updated [Enable Password] Value [eexxeees] 


Config: Dies O Remp Led Changes! oma Weser Changes] ame stares MN o A) 
图 5-283 输入 被 管理 无 线 交 换 机 的 IPC) 


T RingMaster 7.0: Plan (shdd) 


ES Upload MX 
Uploading MX... 


Please wait for the NT's configuration to be retrieved and click Bext to save the changes. 


‘Querying Boot Status and Serial Number: 192.168.100.254:8889 


Image Location = boot0-MX060702.002 
Configuration Location = configuration 
Serial Number= 0721600029 


Uploading device: 192.168.100.254:8889 


Waiting for response from device: 192.168.100.254:8889 
Received network data for: 192.168.100,254:8889 
Processing network data for device: 192.168.100.254:8889 
Done processing uploaded data. 


Successfully uploaded device MXR-2-560CB8. 


Config: O Errors; O Warnings Local Changes: sane — Metwork Changes. 


图 5-284 输入 被 管理 无 线 交 换 机 的 IP(2) 


@ 完成 添加 后 ,进入 无 线 交换 机 的 操作 界面 ,如 图 5-286 所 示 。 
(3) 配置 无 线 AP。 


275 


mm 第 5 章 无 线 局 域 网 络 安全 m 
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Click Finish to complete the wizard 


Adding device to the network plan. Please wait 
‘Successfully added device MXR-2-560CB8 to the network plan. 
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图 5-285 输入 被 管理 无 线 交 换 机 的 IPG) 
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5-286 ”进入 无 线 交换 机 的 操作 界面 


(D 选择 Wireless Access Points 选项 ,添加 AP, 如 图 5-287 所 示 。 
© 为 添加 的 AP 进行 命名 ,并 选择 连接 方式 ,默认 使 用 Distributed 模式 ,如 图 5-288 
所 示 。 


276 


5. 10 


非法 AP 和 Client 的 发 现 与 定位 mm 


HE Detection 
ey 
Tecal Veer Database 
amns 
xan 
(02 1 Access Rules 


Leni Balancing 


sR (r Gem lm dem | aje 


Quir toot Configuration 
Oo 
Other 


O Convert ete AP 
Queer Auto AF 


O Coarant Biret aP 


a 
rt re ee 


图 5-287 配置 无 线 AP 
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图 5-288 X AP 进行 命名 


C 将 需要 添加 的 AP 机 身后 面 的 SN 号 输入 对 话 框 ,用 于 AP 与 无 线 交 换 机 的 注册 
过 程 , 如 图 5-289 所 示 。 


CD 选择 添加 AP 的 具体 型 号 和 传输 协议 ,完成 AP 添加 ,如 图 5-290 所 示 。 
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图 5-289 添加 AP 机 身后 的 SN 号 
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图 5-290 添加 AP 的 具体 型 号 和 传输 协议 


(A) 配置 无 线 交换 机 的 DHCP 服务 器 。 
(D 选择 System—> VLANs 选项 ,然后 选择 default vlan, 进 入 属性 配置 ,如 图 5-291 
所 示 。 
© 进入 Properties? DHCP Server 选项 ,激活 DHCP 服务 器 ,设置 地 址 池 和 DNS, 保 
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图 5-291 配置 无 线 交换 机 的 DHCP 服务 器 


存 , 如 图 5-292 所 示 。 
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5-292 激活 无 线 交换 机 的 DHCP 服务 器 


Config evar € Warnings Covel Chongas 1 devici 了 ecr Tham 


© 选择 System 一 Ports 选项 ,将 无 线 交 换 机 端口 POE 打开 ,并 保存 ,如 图 5-293 
所 示 。 
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图 5-293 打开 无 线 交 换 机 端口 POE 


(5) 打开 无 线 局 域 网 非法 设备 发 现 功能 。 
CD 进入 到 Configuration Wireless RF Detection Countermeasure Mode 下 ,如 
图 5-294 所 示 。 
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图 5-294 打开 无 线 局 域 网 非法 设备 发 现 功能 


© 单 击 Save 按钮 ,如 图 5-295 所 示 。 
© 应 用 到 无 线 局 域 网 内 , 单 击 Deploy, 如 图 5-296 所 示 。 
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图 5-295 保存 无 线 局 域 网 非法 设备 发 现 功能 


` Dies nexie mu 


Tamis 


CAE we — aa E 
图 5-296 ”应 用 无 线 局 域 网 非法 设备 发 现 功能 


(6) 添加 无 线 局 域 网 的 建筑 和 楼 层 。 

(D 打开 RingMaster 软件 ,选择 菜单 栏 中 的 RF Planning, 弹 出 图 5-297 所 示 页 面 。 

© 单 击 右 侧 的 Create Site ,出现 如 下 选项 ,输入 需要 定位 站 点 (此 站 点 必须 是 有 无 线 
覆盖 的 情况 ) 的 名 称 ,可 任 填 ,如 图 5-298 所 示 。 

© 单 击 NEXT 按钮 ,选择 国家 代码 和 设备 工作 信道 ,此 处 的 设置 一 定 要 与 设备 的 配 
置 一 致 ,一 般 可 不 做 更 改 。 下 面 一 行 是 设置 802. 11b/g 所 使 用 的 信道 ,此 设备 也 要 与 无 线 
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图 5-297 打开 RingMaster 软件 
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图 5-298 输入 需要 定位 的 站 点 


设备 所 使 用 的 信道 一 致 ,如 图 5-299 所 示 。 
© 完成 后 单 击 Next 按钮 ,在 这 里 设置 建筑 物 的 编号 和 楼 层 , 本 例 中 使 用 默认 设置 ， 
如 图 5-300 所 示 。 
设置 完成 后 单 击 Finish 按钮 ,我 们 已 经 在 网 管 软件 内 加 入 了 一 个 定位 服务 区 域 。 
为 了 在 使 用 中 简便 ,一 般 将 使 用 的 距离 单位 更 改 为 “ 米 (meter)”。 单 击 左 侧 的 Building. 
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图 5-299 选择 设备 与 无 线 设 备 所 使 用 信道 


SS re cs cen 
图 5-300 设置 建筑 物 的 编号 和 楼 层 


在 选项 内 更 改 单位 。 操 作 方 式 如 图 5-301 所 示 。 

进行 完 上 述 的 软件 操作 之 后 ,就 正式 开始 无 线 布置 操作 了 。 

(7) 导入 楼 层 平面 图 ,实施 无 线 的 布置 。 

导 和 平面图: 

CD 单 击 左 侧 刚刚 设置 好 的 SITE 名 称 左 侧 的 “十 ,本 例 中 为 office 左 侧 的 “十 ,出 现 
Building。 

© 单 击 Building 左 侧 的 “十 ”, 出 现下 拉 的 楼 层 , 单 击 右 侧 的 Import 导入 平面 图 ,如 
图 5-302 所 示 。 
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图 5-301 加 入 定位 服务 区 域 
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图 5-302 导入 楼 层 平面 图 ,实施 无 线 的 布置 


© 选择 图 形 , 在 本 例 中 任 选 一 张 JPG. 的 图 片 作为 无 线 区 域 的 覆盖 布置 图 ,在 实际 中 
图 形 可 选择 CAD JPG 等 多 种 类 型 ,如 图 5-303 所 示 。 

在 实际 案例 中 ,最 佳 方式 是 选择 CAD 图 的 DXF 格式 的 图 片 , 因 为 该 图 片 中 已 经 确 
定 了 建筑 物 的 各 种 参数 ,例如 墙壁 的 类 型 等 。 

(D 单 击 “ 下 一 步 "按钮 ,出 现 平面 图 ,如 图 5-304 所 示 。 

定义 导入 的 平面 图 : 
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图 5-303 选择 无 线 区 域 的 覆盖 布置 图 
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图 5-304 选择 无 线 区 域 的 覆盖 平面 图 


CD 选用 右 侧 的 标尺 图 标 , 丈 量 平面 图 中 的 尺寸 ,如 图 5-305 所 示 。 


© 只 要 丈量 图 中 一 条 边 的 长 度 ,该 软件 就 会 根据 图 例 进行 其 他 边 的 换算 ,所 以 图 形 
画 得 准确 与 否 是 定位 准确 的 关键 。 图 例 中 丈量 的 是 箭头 所 指 的 最 长 的 一 条 边 , 在 实际 中 


的 距离 是 40m, 按 照 实际 距离 进行 填写 ,如 图 5-306 所 示 。 


@ 单 击 “确定 ”按钮 后 进入 下 一 步 操 作 ,出 现 建立 覆盖 区 域 的 向 导 页 面 , 单 击 Save 


& 
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图 5-305 定义 导入 的 平面 图 


图 5-306 软件 根据 图 例 进行 边 换算 


Continue 按钮 ,开始 指定 覆盖 区 域 , 如 图 5-307 所 示 。 

@ 在 这 个 界面 选择 覆盖 区 域 的 类 型 ,有 规则 的 矩形 区 域 . 平 行 四 边 形 区 域 和 自 定 义 
区 域 三 类 。 此 例 中 选择 Custom area, 如 图 5-308 所 示 。 

下 面 开 始 按照 实际 情况 圈定 覆盖 区 域 , 如 图 5-309 所 示 。 

操作 方法 如 下 。 

选择 任意 一 个 起 始点 单 击 鼠 标的 左 键 后 松 开 ,滑动 鼠标 ,在 拐弯 点 单 击 鼠标 继续 滑动 
鼠标 圈定 区 域 , 最 后 滑动 鼠标 回 到 起 始点 , 单 击 右键 ,覆盖 区 域 选 定 完 
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图 5-307 建立 覆盖 区 域 的 向 导 页 面 
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图 5-308 选择 Customarea 项 
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图 5-309 圈定 覆盖 区 域 
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圈定 完 之 后 的 图 形 如 图 5-310 所 示 。 
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图 5-310” 选 定 覆 盖 区 域 


给 该 区 域 起 个 名 称 ,并 选 定 使 用 的 频段 和 环境 类 型 ,本 例 中 名 称 是 ggg. 使 用 2. 4GHz 
频段 ,并 在 室内 空旷 环境 下 使 用 ,如 图 5-311 所 示 。 
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图 5-311 给 覆盖 区 域 起 个 名 称 


选择 传输 速率 和 802. 11 类 型 ,一 般 使 用 默认 值 即 可 ,如 图 5-312 所 示 。 
单 击 * 下 一 步 ? 按 钮 。 选 择 其 他 参数 ,在 这 里 如 果 没 有 特殊 用 途 , 可 不 做 选择 ,直接 单 
击 “ 下 一 步 ” 按 钮 ,如 图 5-313 所 示 。 
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图 5-312 选择 传输 速率 和 802. 11 类 型 
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图 5-313 ”继续 配置 默认 操作 


出 现 如 下 画面 ,如 图 5-314 所 示 。 

单 击 Finish 按钮 可 以 直接 进入 到 已 布置 好 的 环境 内 。 在 平面 图 内 放置 已 经 布 好 
的 AP。 

在 本 例 中 已 经 人 为 对 环境 进行 了 勘测 ,并 布置 好 了 AP, 只 需要 直接 单 击 Finish 按 
钮 ,直接 把 已 经 存在 的 AP 放置 到 相对 应 的 位 置 即 可 。 单 击 Objects to Place, 如 图 5-315 
所 示 。 
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图 5-315 在 平面 图 内 放置 已 经 布 好 的 AP 


选中 AP, 如 图 5-316 所 示 。 
放置 AP。 放 置 方法 : 单 击 AP, 放 开 和 鼠标 .滑动 鼠标 到 实际 环境 内 AP 的 实际 位 置 ， 
单 击 左 键 ,AP 就 会 到 达 相 应 的 位 置 , 如 图 5-317 所 示 。 


290 


— 5.10 AR e Client HA ESE - 


EL 


* **Hs»v-9*9 Rer AREELE: 
E 


LI w 


p 
p 
[P 


Qr m tosfigrerim 


LL * 


Qu onse 
DII 
Quen Nery 
Onn 


Centos 


ie Ten * 


pM 


图 5-316 ”选中 AP 
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图 5-317 放置 AP 


单 击 Save 按钮 ,如 图 5-318 Brzn 。 

这 样 无 线 布置 图 就 完成 了 。 

(8) 通过 RingMaster 寻找 无 线 客户 端 或 定位 非法 AP. 

CD 客户 端的 发 现 和 定位 。 进 入 到 Monitor 菜单 下 , 单 击 Client 图 标 , 如 图 5-319 
所 示 。 
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图 5-319 客户 端的 发 现 和 定位 (1) 


© 出 现 无 线 局 域 网 环境 内 客户 端 列 表 , 单 击 右 侧 的 Locate Client 按钮 ,如 图 5-320 
所 示 。 
O 网 管 软件 将 会 出 现 图 5-321 所 示 对 话 框 , 在 图 中 会 出 现 客户 端的 位 置 。 图 中 箭头 
指向 的 就 是 被 定位 的 客户 端 。 

© 非法 AP 的 发 现 和 定位 。 无 线 局 域 网 可 以 实时 发 现 与 找到 非法 AP 或 非法 设备 ， 
通过 RingMaster 可 以 定位 到 该 设备 。 单 击 Security, 查 看 无 线 局 域 网 环境 内 存在 的 危险 
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5.10 非法 AP 和 Client 的 发 现 与 定位 
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图 5-320 ”客户 端的 发 现 和 定位 (2) 
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图 5-321 定位 客户 端 


" 


事件 和 设备 ,如 图 5-322 所 示 。 

© 非法 AP 和 非法 设备 的 发 现 ,如 图 5-323 所 示 。 

@ 单 击 图 5-323 中 的 图 ,出 现 所 有 设备 ,并 且 所 有 设备 的 具体 细节 内 容 可 以 显示 出 
来 ,如 图 5-324 所 示 。 
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图 5-322 非法 AP 的 发 现 和 定位 
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图 5-323 ”非法 AP 和 非法 设备 的 发 现 


© 单 击 右 下 侧 的 Locate 选项 进行 定位 ,如 图 5-325 所 示 。 
非法 AP 的 定位 ,如 图 5-326 所 示 。 
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图 5-324 显示 所 有 设备 的 具体 细节 
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[fd 5-326 非法 AP 的 定位 


【注意 事项 】 
如 果 导 入 的 图 片 和 实际 环境 一 致 的 话 ,客户 端 实际 位 置 和 图 中 显示 的 位 置 应 该 基本 
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